Microsoft ได้ลบโค้ด (สำเนา) ออกจาก GitHub พร้อมช่องโหว่ต้นแบบที่สาธิตหลักการทำงานของช่องโหว่ที่สำคัญใน Microsoft Exchange การกระทำนี้ทำให้เกิดความไม่พอใจในหมู่นักวิจัยด้านความปลอดภัยจำนวนมาก เนื่องจากต้นแบบของช่องโหว่นี้ได้รับการเผยแพร่หลังจากการเปิดตัวแพตช์ ซึ่งเป็นแนวทางปฏิบัติทั่วไป
กฎ GitHub มีข้อกำหนดที่ห้ามการวางโค้ดที่เป็นอันตรายหรือช่องโหว่ที่ใช้งานอยู่ (เช่น ระบบผู้ใช้ที่โจมตี) ในพื้นที่เก็บข้อมูล รวมถึงการใช้ GitHub เป็นแพลตฟอร์มสำหรับส่งช่องโหว่และโค้ดที่เป็นอันตรายระหว่างการโจมตี แต่ก่อนหน้านี้กฎนี้ไม่เคยใช้กับต้นแบบโค้ดที่นักวิจัยโฮสต์ซึ่งเผยแพร่เพื่อวิเคราะห์วิธีการโจมตีหลังจากที่ผู้จำหน่ายเผยแพร่แพตช์
เนื่องจากโค้ดดังกล่าวมักจะไม่ถูกลบออก การกระทำของ GitHub จึงถูกมองว่าเป็น Microsoft โดยใช้ทรัพยากรด้านการดูแลระบบเพื่อบล็อกข้อมูลเกี่ยวกับช่องโหว่ในผลิตภัณฑ์ของตน นักวิจารณ์กล่าวหาว่า Microsoft มีสองมาตรฐานและเซ็นเซอร์เนื้อหาที่เป็นที่สนใจอย่างมากต่อชุมชนการวิจัยด้านความปลอดภัย เพียงเพราะเนื้อหาดังกล่าวส่งผลเสียต่อผลประโยชน์ของ Microsoft ตามที่สมาชิกของทีม Google Project Zero ระบุว่าแนวทางปฏิบัติในการเผยแพร่ต้นแบบการหาประโยชน์นั้นมีความสมเหตุสมผลและผลประโยชน์นั้นมีมากกว่าความเสี่ยง เนื่องจากไม่มีทางที่จะแบ่งปันผลการวิจัยกับผู้เชี่ยวชาญคนอื่น ๆ ได้หากไม่มีข้อมูลนี้ตกไปอยู่ในมือของผู้โจมตี
นักวิจัยจาก Kryptos Logic พยายามคัดค้าน โดยชี้ให้เห็นว่าในสถานการณ์ที่ยังมีเซิร์ฟเวอร์ Microsoft Exchange ที่ยังไม่ได้อัปเดตมากกว่า 50 เซิร์ฟเวอร์บนเครือข่าย การเผยแพร่ต้นแบบการหาประโยชน์ที่พร้อมสำหรับการโจมตีดูน่าสงสัย ความเสียหายที่การเผยแพร่ช่องโหว่ในช่วงต้นสามารถก่อให้เกิดประโยชน์มากกว่าผลประโยชน์สำหรับนักวิจัยด้านความปลอดภัย เนื่องจากการใช้ประโยชน์ดังกล่าวทำให้มีเซิร์ฟเวอร์จำนวนมากที่ยังไม่ได้รับการอัปเดต
ตัวแทน GitHub แสดงความคิดเห็นเกี่ยวกับการลบดังกล่าวว่าเป็นการละเมิดนโยบายการใช้งานที่ยอมรับได้ของบริการ และระบุว่าพวกเขาเข้าใจถึงความสำคัญของการเผยแพร่ต้นแบบการหาประโยชน์เพื่อการวิจัยและการศึกษา แต่ยังตระหนักถึงอันตรายของความเสียหายที่อาจเกิดขึ้นในมือของผู้โจมตี ดังนั้น GitHub จึงพยายามค้นหาจุดสมดุลที่เหมาะสมที่สุดระหว่างผลประโยชน์ของชุมชนการวิจัยด้านความปลอดภัยและการปกป้องผู้ที่ตกเป็นเหยื่อ ในกรณีนี้ การเผยแพร่ช่องโหว่ที่เหมาะสมสำหรับการโจมตีหากมีระบบจำนวนมากที่ยังไม่ได้รับการอัปเดต ถือเป็นการละเมิดกฎ GitHub
เป็นที่น่าสังเกตว่าการโจมตีเริ่มขึ้นในเดือนมกราคม นานก่อนที่จะมีการเปิดตัวการแก้ไขและการเปิดเผยข้อมูลเกี่ยวกับการมีอยู่ของช่องโหว่ (0 วัน) ก่อนที่จะเผยแพร่ต้นแบบการหาประโยชน์ เซิร์ฟเวอร์ประมาณ 100 เครื่องถูกโจมตีแล้ว ซึ่งมีการติดตั้งแบ็คดอร์สำหรับการควบคุมระยะไกล
ต้นแบบการหาประโยชน์จาก GitHub ระยะไกลแสดงให้เห็นถึงช่องโหว่ CVE-2021-26855 (ProxyLogon) ซึ่งช่วยให้สามารถดึงข้อมูลของผู้ใช้ตามอำเภอใจได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ เมื่อรวมกับ CVE-2021-27065 ช่องโหว่ดังกล่าวยังอนุญาตให้เรียกใช้โค้ดบนเซิร์ฟเวอร์ด้วยสิทธิ์ของผู้ดูแลระบบ
ช่องโหว่ไม่ได้ถูกลบออกทั้งหมด ตัวอย่างเช่น เวอร์ชันที่เรียบง่ายของช่องโหว่อื่นที่พัฒนาโดยทีมงาน GreyOrder ยังคงอยู่ใน GitHub หมายเหตุการหาประโยชน์ระบุว่าการหาประโยชน์จาก GreyOrder ดั้งเดิมนั้นถูกลบออกหลังจากเพิ่มฟังก์ชันเพิ่มเติมให้กับโค้ดเพื่อระบุจำนวนผู้ใช้บนเมลเซิร์ฟเวอร์ ซึ่งสามารถใช้เพื่อดำเนินการโจมตีจำนวนมากในบริษัทที่ใช้ Microsoft Exchange
ที่มา: opennet.ru