Microsoft har tagit bort koden (kopian) från GitHub med en prototypexploat som demonstrerar principen för driften av en kritisk sårbarhet i Microsoft Exchange. Denna åtgärd väckte upprördhet bland många säkerhetsforskare, eftersom prototypen av exploateringen publicerades efter släppningen av patchen, vilket är vanligt förekommande.
GitHub-reglerna innehåller en klausul som förbjuder placering av aktiv skadlig kod eller exploateringar (d.v.s. de som attackerar användarsystem) i arkiv, såväl som användningen av GitHub som en plattform för att leverera exploateringar och skadlig kod under attacker. Men denna regel har inte tidigare tillämpats på forskarvärdade kodprototyper som publicerats för att analysera attackmetoder efter att en leverantör släppt en patch.
Eftersom sådan kod vanligtvis inte tas bort, uppfattades GitHubs agerande som att Microsoft använde administrativa resurser för att blockera information om sårbarheten i dess produkt. Kritiker har anklagat Microsoft för dubbelmoral och att censurera innehåll av stort intresse för säkerhetsforskningsgemenskapen bara för att innehållet skadar Microsofts intressen. Enligt en medlem av Google Project Zero-teamet är bruket att publicera exploateringsprototyper berättigat och fördelarna överväger risken, eftersom det inte finns något sätt att dela forskningsresultat med andra specialister utan att denna information hamnar i händerna på angripare.
En forskare från Kryptos Logic försökte invända och påpekade att i en situation där det fortfarande finns mer än 50 tusen ouppdaterade Microsoft Exchange-servrar på nätverket ser publiceringen av exploateringsprototyper redo för attacker tveksam ut. Skadan som tidig publicering av exploits kan orsaka överväger fördelen för säkerhetsforskare, eftersom sådana exploateringar avslöjar ett stort antal servrar som ännu inte har uppdaterats.
GitHub-representanter kommenterade borttagningen som ett brott mot tjänstens policy för acceptabla användningsområden och uppgav att de förstår vikten av att publicera exploateringsprototyper för forsknings- och utbildningsändamål, men inser också risken för skada som de kan orsaka i händerna på angripare. Därför försöker GitHub hitta den optimala balansen mellan säkerhetsforskningssamhällets intressen och skyddet av potentiella offer. I det här fallet anses publicering av en exploatering som är lämplig för att utföra attacker, förutsatt att det finns ett stort antal system som ännu inte har uppdaterats, bryta mot GitHub-reglerna.
Det är anmärkningsvärt att attackerna började i januari, långt innan släppningen av fixen och avslöjande av information om närvaron av sårbarheten (0-dag). Innan exploateringsprototypen publicerades hade cirka 100 tusen servrar redan attackerats, på vilka en bakdörr för fjärrkontroll hade installerats.
En avlägsen GitHub-exploateringsprototyp visade CVE-2021-26855 (ProxyLogon) sårbarhet, vilket gör att data från en godtycklig användare kan extraheras utan autentisering. I kombination med CVE-2021-27065 tillät sårbarheten också att kod köras på servern med administratörsrättigheter.
Alla exploits har inte tagits bort; till exempel finns en förenklad version av en annan exploit utvecklad av GreyOrder-teamet fortfarande kvar på GitHub. Exploateringsnoten anger att den ursprungliga GreyOrder-exploateringen togs bort efter att ytterligare funktionalitet lagts till i koden för att räkna upp användare på e-postservern, som kan användas för att utföra massattacker på företag som använder Microsoft Exchange.
Källa: opennet.ru