Microsoft odstránil z GitHubu kód (kópiu) s prototypom exploitu, ktorý demonštruje princíp fungovania kritickej zraniteľnosti v Microsoft Exchange. Táto akcia vyvolala pobúrenie medzi mnohými bezpečnostnými výskumníkmi, keďže prototyp exploitu bol zverejnený po vydaní záplaty, čo je bežná prax.
Pravidlá GitHubu obsahujú klauzulu zakazujúcu umiestňovanie aktívneho škodlivého kódu alebo exploitov (t. j. tých, ktorí útočia na používateľské systémy) do úložísk, ako aj používanie GitHubu ako platformy na doručovanie exploitov a škodlivého kódu počas útokov. Toto pravidlo sa však predtým neuplatňovalo na prototypy kódu hostené výskumníkmi publikované na analýzu metód útoku po vydaní opravy dodávateľom.
Keďže takýto kód zvyčajne nie je odstránený, akcie GitHubu boli vnímané tak, že Microsoft využíva administratívne zdroje na blokovanie informácií o zraniteľnosti svojho produktu. Kritici obvinili Microsoft z dvojitých štandardov a cenzúry obsahu, ktorý je predmetom veľkého záujmu komunity zaoberajúcej sa výskumom bezpečnosti, jednoducho preto, že obsah poškodzuje záujmy Microsoftu. Podľa člena tímu Google Project Zero je prax zverejňovania prototypov exploitov opodstatnená a prínos prevažuje nad rizikom, keďže neexistuje spôsob, ako zdieľať výsledky výskumu s inými odborníkmi bez toho, aby sa tieto informácie nedostali do rúk útočníkov.
Oponovať sa pokúsil výskumník z Kryptos Logic, ktorý poukázal na to, že v situácii, keď je v sieti stále viac ako 50 tisíc neaktualizovaných serverov Microsoft Exchange, vyzerá zverejnenie prototypov exploitov pripravených na útoky pochybne. Škody, ktoré môže spôsobiť skoré zverejnenie exploitov, prevažujú nad prínosom pre výskumníkov v oblasti bezpečnosti, pretože takéto exploity odhaľujú veľké množstvo serverov, ktoré ešte neboli aktualizované.
Zástupcovia GitHubu komentovali odstránenie ako porušenie pravidiel prijateľného používania služby a uviedli, že chápu dôležitosť zverejňovania prototypov zneužitia na výskumné a vzdelávacie účely, ale tiež si uvedomujú nebezpečenstvo škôd, ktoré môžu spôsobiť útočníkom. GitHub sa preto snaží nájsť optimálnu rovnováhu medzi záujmami komunity bezpečnostného výskumu a ochranou potenciálnych obetí. V tomto prípade sa zverejnenie exploitu vhodného na vykonávanie útokov za predpokladu, že existuje veľký počet systémov, ktoré ešte neboli aktualizované, považuje za porušenie pravidiel GitHubu.
Je pozoruhodné, že útoky sa začali v januári, dlho pred vydaním opravy a zverejnením informácií o prítomnosti zraniteľnosti (0 dní). Pred zverejnením prototypu exploitu bolo napadnutých už asi 100 tisíc serverov, na ktorých bolo nainštalované zadné vrátka pre diaľkové ovládanie.
Vzdialený prototyp exploitu GitHub demonštroval zraniteľnosť CVE-2021-26855 (ProxyLogon), ktorá umožňuje extrahovať údaje ľubovoľného používateľa bez autentifikácie. V kombinácii s CVE-2021-27065 táto chyba zabezpečenia tiež umožnila spustenie kódu na serveri s právami správcu.
Nie všetky exploity boli odstránené; napríklad na GitHub stále zostáva zjednodušená verzia iného exploitu vyvinutého tímom GreyOrder. V poznámke o exploite sa uvádza, že pôvodný exploit GreyOrder bol odstránený po tom, čo bola do kódu pridaná ďalšia funkcionalita na vymenovanie používateľov na poštovom serveri, čo by sa dalo použiť na hromadné útoky na spoločnosti používajúce Microsoft Exchange.
Zdroj: opennet.ru