Microsoft usunął z GitHuba kod (kopię) zawierający prototypowy exploit demonstrujący zasadę działania krytycznej luki w Microsoft Exchange. Akcja ta wywołała oburzenie wśród wielu badaczy bezpieczeństwa, gdyż prototyp exploita został opublikowany po wydaniu łatki, co jest powszechną praktyką.
Reguły GitHuba zawierają klauzulę zabraniającą umieszczania aktywnego złośliwego kodu lub exploitów (tj. atakujących systemy użytkownika) w repozytoriach, a także wykorzystywania GitHuba jako platformy do dostarczania exploitów i złośliwego kodu podczas ataków. Jednak zasada ta nie była wcześniej stosowana w przypadku prototypów kodu hostowanych przez badaczy, publikowanych w celu analizy metod ataków po wydaniu łatki przez dostawcę.
Ponieważ taki kod zwykle nie jest usuwany, działania GitHuba zostały odebrane jako wykorzystywanie przez Microsoft zasobów administracyjnych do blokowania informacji o luce w jego produkcie. Krytycy oskarżają Microsoft o podwójne standardy i cenzurowanie treści cieszących się dużym zainteresowaniem społeczności badaczy bezpieczeństwa tylko dlatego, że naruszają one interesy Microsoftu. Według członka zespołu Google Project Zero praktyka publikowania prototypów exploitów jest uzasadniona, a korzyści przewyższają ryzyko, gdyż nie ma możliwości udostępnienia wyników badań innym specjalistom, tak aby informacja ta nie wpadła w ręce atakujących.
Badacz z Kryptos Logic próbował sprzeciwić się, wskazując, że w sytuacji, gdy w sieci znajduje się jeszcze ponad 50 tysięcy nieaktualnych serwerów Microsoft Exchange, publikacja prototypów exploitów gotowych do ataków wydaje się wątpliwa. Szkody, jakie może wyrządzić wczesna publikacja exploitów, przewyższają korzyści dla badaczy bezpieczeństwa, ponieważ takie exploity ujawniają dużą liczbę serwerów, które nie zostały jeszcze zaktualizowane.
Przedstawiciele GitHuba skomentowali usunięcie jako naruszenie Zasad dopuszczalnego użytkowania serwisu i oświadczyli, że rozumieją znaczenie publikowania prototypów exploitów w celach badawczych i edukacyjnych, ale także zdają sobie sprawę z niebezpieczeństwa szkód, jakie mogą wyrządzić w rękach atakujących. Dlatego GitHub stara się znaleźć optymalną równowagę pomiędzy interesami społeczności badaczy bezpieczeństwa a ochroną potencjalnych ofiar. W takim przypadku publikacja exploita nadającego się do przeprowadzenia ataków, pod warunkiem, że istnieje duża liczba systemów, które nie zostały jeszcze zaktualizowane, uważana jest za naruszenie zasad GitHub.
Warto zauważyć, że ataki rozpoczęły się w styczniu, na długo przed publikacją poprawki i ujawnieniem informacji o obecności luki (0-day). Zanim prototyp exploita został opublikowany, zaatakowanych zostało już około 100 tysięcy serwerów, na których zainstalowano backdoora umożliwiającego zdalną kontrolę.
Prototyp zdalnego exploita na GitHubie wykazał lukę CVE-2021-26855 (ProxyLogon), która umożliwia wyodrębnienie danych dowolnego użytkownika bez uwierzytelniania. W połączeniu z CVE-2021-27065 luka ta umożliwiała również wykonanie kodu na serwerze z uprawnieniami administratora.
Nie wszystkie exploity zostały usunięte; na przykład uproszczona wersja innego exploita opracowanego przez zespół GreyOrder nadal pozostaje na GitHubie. W notatce o exploitie znajduje się informacja, że oryginalny exploit GreyOrder został usunięty po dodaniu do kodu dodatkowej funkcjonalności zliczającej użytkowników na serwerze pocztowym, która mogła zostać wykorzystana do przeprowadzania masowych ataków na firmy korzystające z Microsoft Exchange.
Źródło: opennet.ru