Microsoft ka hequr nga GitHub kodin (kopjen) me një shfrytëzim prototip që demonstron parimin e funksionimit të një cenueshmërie kritike në Microsoft Exchange. Ky veprim shkaktoi zemërim te shumë studiues të sigurisë, pasi prototipi i shfrytëzimit u publikua pas lëshimit të patch-it, që është praktikë e zakonshme.
Rregullat e GitHub përmbajnë një klauzolë që ndalon vendosjen e kodit aktiv me qëllim të keq ose shfrytëzimeve (d.m.th., atyre që sulmojnë sistemet e përdoruesve) në depo, si dhe përdorimin e GitHub si një platformë për dhënien e shfrytëzimeve dhe kodeve me qëllim të keq gjatë sulmeve. Por ky rregull nuk është aplikuar më parë për prototipet e kodit të pritur nga studiuesit, të publikuara për të analizuar metodat e sulmit pasi një shitës lëshon një patch.
Meqenëse një kod i tillë zakonisht nuk hiqet, veprimet e GitHub u perceptuan si Microsoft duke përdorur burime administrative për të bllokuar informacionin në lidhje me cenueshmërinë në produktin e tij. Kritikët kanë akuzuar Microsoft për standarde të dyfishta dhe censurim të përmbajtjeve me interes të lartë për komunitetin e kërkimit të sigurisë thjesht sepse përmbajtja dëmton interesat e Microsoft. Sipas një anëtari të ekipit të Google Project Zero, praktika e publikimit të prototipeve të shfrytëzimit është e justifikuar dhe përfitimi tejkalon rrezikun, pasi nuk ka asnjë mënyrë për të ndarë rezultatet e kërkimit me specialistë të tjerë pa rënë ky informacion në duart e sulmuesve.
Një studiues nga Kryptos Logic u përpoq të kundërshtonte, duke vënë në dukje se në një situatë ku ka ende më shumë se 50 mijë serverë të Microsoft Exchange të pa përditësuar në rrjet, publikimi i prototipave të shfrytëzimit të gatshëm për sulme duket i dyshimtë. Dëmi që mund të shkaktojë publikimi i hershëm i shfrytëzimeve tejkalon përfitimin për studiuesit e sigurisë, pasi shfrytëzime të tilla ekspozojnë një numër të madh serverësh që ende nuk janë përditësuar.
Përfaqësuesit e GitHub komentuan heqjen si shkelje të Politikave të Përdorimit të Pranueshëm të shërbimit dhe deklaruan se ata e kuptojnë rëndësinë e publikimit të prototipeve të shfrytëzimit për qëllime kërkimore dhe edukative, por gjithashtu njohin rrezikun e dëmtimit që ato mund të shkaktojnë në duart e sulmuesve. Prandaj, GitHub po përpiqet të gjejë ekuilibrin optimal midis interesave të komunitetit të kërkimit të sigurisë dhe mbrojtjes së viktimave të mundshme. Në këtë rast, publikimi i një shfrytëzimi të përshtatshëm për kryerjen e sulmeve, me kusht që të ketë një numër të madh sistemesh që ende nuk janë përditësuar, konsiderohet se shkel rregullat e GitHub.
Vlen të përmendet se sulmet filluan në janar, shumë kohë përpara publikimit të rregullimit dhe zbulimit të informacionit në lidhje me praninë e cenueshmërisë (0-ditore). Para se të publikohej prototipi i eksploit, tashmë ishin sulmuar rreth 100 mijë serverë, në të cilët ishte instaluar një derë e pasme për telekomandë.
Një prototip i largët i shfrytëzimit të GitHub demonstroi cenueshmërinë CVE-2021-26855 (ProxyLogon), e cila lejon që të dhënat e një përdoruesi arbitrar të nxirren pa vërtetim. Kur kombinohet me CVE-2021-27065, dobësia gjithashtu lejoi që kodi të ekzekutohej në server me të drejta administratori.
Jo të gjitha shfrytëzimet janë hequr; për shembull, një version i thjeshtuar i një shfrytëzimi tjetër të zhvilluar nga ekipi GreyOrder mbetet ende në GitHub. Shënimi i shfrytëzimit thotë se shfrytëzimi origjinal i GreyOrder u hoq pasi u shtua funksionalitet shtesë në kod për të numëruar përdoruesit në serverin e postës, i cili mund të përdoret për të kryer sulme masive ndaj kompanive që përdorin Microsoft Exchange.
Burimi: opennet.ru