Microsoft har fjernet koden (kopi) fra GitHub med en prototypeutnyttelse som demonstrerer prinsippet om en kritisk sårbarhet i Microsoft Exchange. En slik handling forårsaket raseri blant mange sikkerhetsforskere, ettersom utnyttelsesprototypen ble publisert etter utgivelsen av oppdateringen, som er en vanlig praksis.
Det er en klausul i GitHub-reglene som forbyr plassering av aktiv ondsinnet kode eller utnyttelser (det vil si å angripe brukersystemer) i depoter, samt bruk av GitHub som en plattform for å levere utnyttelser og skadelig programvare når de er i ferd med å bære ut angrep. Men denne regelen har ikke tidligere blitt brukt på kodeprototyper hostet av forskere som ble publisert for å analysere angrepsmetoder etter at en oppdatering ble utgitt av en leverandør.
Siden slik kode vanligvis ikke fjernes, ble GitHubs handlinger oppfattet som Microsofts bruk av en administrativ ressurs for å blokkere informasjon om en sårbarhet i produktet. Kritikere har anklaget Microsoft for dobbeltmoral og sensur av innhold av stor interesse for sikkerhetsforskningsmiljøet rett og slett fordi innholdet er skadelig for Microsofts interesser. I følge et medlem av Google Project Zero-teamet er praksisen med å publisere utnyttelsesprototyper berettiget og fordelene oppveier risikoen, siden det ikke er mulig å dele forskningsresultater med andre spesialister uten at denne informasjonen faller i hendene på angripere.
En forsker fra Kryptos Logic forsøkte å protestere, og påpekte at i en situasjon der det fortsatt er mer enn 50 XNUMX uoppdaterte Microsoft Exchange-servere på nettverket, ser det tvilsomt ut å publisere utnyttelsesprototyper som er klare for angrep. Skaden som tidlig publisering av utnyttelser kan forårsake, oppveier fordelene for sikkerhetsforskere, siden slike utnyttelser setter et stort antall servere i fare som ennå ikke har rukket å installere oppdateringer.
GitHub-representanter kommenterte fjerningen som et brudd på tjenestevilkårene (retningslinjer for akseptabel bruk) og uttalte at de forstår viktigheten av å publisere utnyttelsesprototyper for forsknings- og utdanningsformål, men anerkjenner også faren fra skaden de kan forårsake i hendene til angripere. Derfor prøver GitHub å finne den optimale balansen mellom interessene til sikkerhetsforskningsmiljøet og beskyttelsen av potensielle ofre. I dette tilfellet er publiseringen av en utnyttelse egnet for å begå angrep, forutsatt at det er et stort antall systemer som ennå ikke er oppdatert, anerkjent som brudd på reglene til GitHub.
Det er bemerkelsesverdig at angrepene begynte i januar, lenge før utgivelsen av oppdateringen og avsløringen av informasjon om tilstedeværelsen av sårbarheten (0-dagers). Før utnyttelsesprototypen ble publisert, hadde rundt 100 tusen servere allerede blitt angrepet, som en bakdør for fjernkontroll ble installert på.
En ekstern GitHub-utnyttelsesprototype demonstrerte CVE-2021-26855 (ProxyLogon)-sårbarheten, som gjør det mulig å trekke ut vilkårlige brukerdata uten autentisering. I forbindelse med CVE-2021-27065 tillot sårbarheten også kjøring av kode på en server med administrative rettigheter.
Ikke alle utnyttelser er fjernet, for eksempel forblir en forenklet versjon av en annen utnyttelse utviklet av GreyOrder-teamet på GitHub. Utnyttingsnotatet sier at den originale GreyOrder-utnyttelsen ble fjernet etter å ha lagt til ytterligere funksjonalitet til koden som teller brukere på e-postserveren, som kan brukes til å starte masseangrep på selskaper som bruker Microsoft Exchange.
Kilde: opennet.ru