Мицрософт је уклонио код (копију) са ГитХуб-а уз помоћ прототипа који демонстрира принцип критичне рањивости у Мицрософт Екцханге-у. Оваква акција изазвала је негодовање многих истраживача безбедности, пошто је прототип експлоатације објављен након објављивања закрпе, што је уобичајена пракса.
У ГитХуб правилима постоји клаузула која забрањује постављање активног злонамерног кода или експлоатације (тј. напада на корисничке системе) у спремишта, као и коришћење ГитХуб-а као платформе за испоруку експлоатација и малвера када је у процесу преноса. ван напада. Али ово правило се раније није примењивало на прототипове кода које су хостовали истраживачи који су објављени да анализирају методе напада након што је продавац објавио закрпу.
Пошто се такав код обично не уклања, ГитХуб-ове радње су схваћене као Мицрософтово коришћење административног ресурса за блокирање информација о рањивости у свом производу. Критичари су оптужили Мицрософт за двоструке стандарде и цензуру садржаја од великог интереса за истраживачку заједницу у области безбедности само зато што садржај штети Мицрософтовим интересима. Према речима члана Гоогле Пројецт Зеро тима, пракса објављивања прототипова експлоатације је оправдана, а користи су веће од ризика, јер не постоји начин да се резултати истраживања подели са другим стручњацима, а да ове информације не падну у руке нападача.
Истраживач из Криптос Логиц-а покушао је да приговори, истичући да у ситуацији у којој још увек постоји више од 50 неажурираних Мицрософт Екцханге сервера на мрежи, објављивање прототипова експлоатације спремних за нападе изгледа сумњиво. Штета коју рано објављивање експлоатација може да изазове надмашује корист за истраживаче безбедности, пошто такви експлоати угрожавају велики број сервера који још нису имали времена да инсталирају ажурирања.
Представници ГитХуб-а су прокоментарисали уклањање као кршење услова коришћења услуге (Правила прихватљивог коришћења) и навели да разумеју важност објављивања прототипова експлоатације у истраживачке и образовне сврхе, али и да препознају опасност од штете коју могу да изазову у руке нападача. Стога ГитХуб покушава да пронађе оптималну равнотежу између интереса истраживачке заједнице и заштите потенцијалних жртава. У овом случају, објављивање експлоатације погодног за вршење напада, под условом да постоји велики број система који још увек нису ажурирани, препознаје се као кршење правила ГитХуб-а.
Важно је напоменути да су напади почели у јануару, много пре објављивања закрпе и откривања информација о присуству рањивости (0-дан). Пре него што је експлоат прототип објављен, већ је било нападнуто око 100 хиљада сервера на којима је инсталиран бацкдоор за даљинско управљање.
Удаљени прототип експлоатације ГитХуб-а показао је рањивост ЦВЕ-2021-26855 (ПрокиЛогон), која омогућава издвајање произвољних корисничких података без аутентификације. У вези са ЦВЕ-2021-27065, рањивост је такође омогућила извршавање кода на серверу са административним привилегијама.
Нису сви експлоати уклоњени, на пример, поједностављена верзија друге експлоатације коју је развио ГреиОрдер тим остаје на ГитХубу. У напомени о експлоатацији се наводи да је оригинална грешка ГреиОрдер уклоњена након што је додата додатна функционалност коду који набраја кориснике на серверу поште, што би се могло користити за покретање масовних напада на компаније које користе Мицрософт Екцханге.
Извор: опеннет.ру