A Microsoft removeu do GitHub o código (cópia) com um protótipo de exploração que demonstra o princípio de funcionamento de uma vulnerabilidade crítica no Microsoft Exchange. Esta ação causou indignação entre muitos pesquisadores de segurança, já que o protótipo do exploit foi publicado após o lançamento do patch, o que é uma prática comum.
As regras do GitHub contêm uma cláusula que proíbe a colocação de códigos maliciosos ativos ou explorações (ou seja, aqueles que atacam os sistemas dos usuários) em repositórios, bem como o uso do GitHub como plataforma para entregar explorações e códigos maliciosos durante ataques. Mas esta regra não foi aplicada anteriormente a protótipos de código hospedados por pesquisadores publicados para analisar métodos de ataque depois que um fornecedor lança um patch.
Como esse código geralmente não é removido, as ações do GitHub foram percebidas como a Microsoft usando recursos administrativos para bloquear informações sobre a vulnerabilidade em seu produto. Os críticos acusaram a Microsoft de padrões duplos e de censurar conteúdo de grande interesse para a comunidade de pesquisa de segurança simplesmente porque o conteúdo prejudica os interesses da Microsoft. Segundo um membro da equipe do Google Project Zero, a prática de publicar protótipos de exploits é justificada e o benefício supera o risco, já que não há como compartilhar resultados de pesquisas com outros especialistas sem que essas informações caiam nas mãos de invasores.
Um pesquisador da Kryptos Logic tentou contestar, apontando que em uma situação em que ainda existem mais de 50 mil servidores Microsoft Exchange não atualizados na rede, a publicação de protótipos de exploits prontos para ataques parece duvidosa. O dano que a publicação antecipada de explorações pode causar supera o benefício para os pesquisadores de segurança, uma vez que tais explorações expõem um grande número de servidores que ainda não foram atualizados.
Representantes do GitHub comentaram a remoção como uma violação das Políticas de Uso Aceitável do serviço e afirmaram que entendem a importância de publicar protótipos de exploits para fins de pesquisa e educacionais, mas também reconhecem o perigo de danos que podem causar nas mãos de invasores. Portanto, o GitHub está tentando encontrar o equilíbrio ideal entre os interesses da comunidade de pesquisa em segurança e a proteção de possíveis vítimas. Neste caso, a publicação de um exploit adequado para a realização de ataques, desde que exista um grande número de sistemas que ainda não tenham sido atualizados, é considerada uma violação das regras do GitHub.
Vale ressaltar que os ataques começaram em janeiro, muito antes da divulgação da correção e divulgação de informações sobre a presença da vulnerabilidade (dia 0). Antes da publicação do protótipo do exploit, cerca de 100 mil servidores já haviam sido atacados, nos quais havia sido instalado um backdoor para controle remoto.
Um protótipo de exploração remota do GitHub demonstrou a vulnerabilidade CVE-2021-26855 (ProxyLogon), que permite que os dados de um usuário arbitrário sejam extraídos sem autenticação. Quando combinada com CVE-2021-27065, a vulnerabilidade também permitiu que código fosse executado no servidor com direitos de administrador.
Nem todas as explorações foram removidas; por exemplo, uma versão simplificada de outra exploração desenvolvida pela equipe GreyOrder ainda permanece no GitHub. A nota de exploração afirma que a exploração GreyOrder original foi removida depois que funcionalidade adicional foi adicionada ao código para enumerar usuários no servidor de e-mail, que poderia ser usado para realizar ataques em massa a empresas que usam o Microsoft Exchange.
Fonte: opennet.ru