Inalis ng Microsoft sa GitHub ang code (kopya) na may prototype na pagsasamantala na nagpapakita ng prinsipyo ng pagpapatakbo ng isang kritikal na kahinaan sa Microsoft Exchange. Ang pagkilos na ito ay nagdulot ng galit sa maraming mananaliksik sa seguridad, dahil ang prototype ng pagsasamantala ay nai-publish pagkatapos ng paglabas ng patch, na karaniwang kasanayan.
Ang mga panuntunan ng GitHub ay naglalaman ng isang sugnay na nagbabawal sa paglalagay ng aktibong malisyosong code o mga pagsasamantala (ibig sabihin, ang mga umaatake sa mga system ng user) sa mga repositoryo, pati na rin ang paggamit ng GitHub bilang isang platform para sa paghahatid ng mga pagsasamantala at nakakahamak na code sa panahon ng mga pag-atake. Ngunit ang panuntunang ito ay hindi pa nailapat dati sa mga prototype ng code na hino-host ng mananaliksik na na-publish upang suriin ang mga paraan ng pag-atake pagkatapos maglabas ng patch ang isang vendor.
Dahil ang naturang code ay karaniwang hindi inaalis, ang mga aksyon ng GitHub ay itinuturing bilang Microsoft na gumagamit ng mga mapagkukunang administratibo upang harangan ang impormasyon tungkol sa kahinaan sa produkto nito. Inakusahan ng mga kritiko ang Microsoft ng dobleng pamantayan at pag-censor ng nilalaman na may mataas na interes sa komunidad ng pagsasaliksik ng seguridad dahil lamang sa nakakapinsala ang nilalaman sa mga interes ng Microsoft. Ayon sa isang miyembro ng Google Project Zero team, ang kasanayan sa pag-publish ng mga prototype ng pagsasamantala ay makatwiran at ang benepisyo ay mas malaki kaysa sa panganib, dahil walang paraan upang ibahagi ang mga resulta ng pananaliksik sa iba pang mga espesyalista nang hindi nahuhulog ang impormasyong ito sa mga kamay ng mga umaatake.
Sinubukan ng isang mananaliksik mula sa Kryptos Logic na tumutol, na itinuro na sa isang sitwasyon kung saan mayroon pa ring higit sa 50 libong hindi na-update na mga server ng Microsoft Exchange sa network, ang paglalathala ng mga pagsasamantalang mga prototype na handa para sa mga pag-atake ay mukhang kaduda-duda. Ang pinsala na maaaring idulot ng maagang paglalathala ng mga pagsasamantala ay higit sa benepisyo para sa mga mananaliksik ng seguridad, dahil ang mga naturang pagsasamantala ay naglalantad ng malaking bilang ng mga server na hindi pa naa-update.
Nagkomento ang mga kinatawan ng GitHub sa pag-alis bilang isang paglabag sa Mga Patakaran sa Katanggap-tanggap na Paggamit ng serbisyo at sinabing nauunawaan nila ang kahalagahan ng pag-publish ng mga prototype ng pagsasamantala para sa mga layunin ng pananaliksik at pang-edukasyon, ngunit kinikilala rin ang panganib ng pinsala na maaari nilang idulot sa mga kamay ng mga umaatake. Samakatuwid, sinusubukan ng GitHub na hanapin ang pinakamainam na balanse sa pagitan ng mga interes ng komunidad ng pananaliksik sa seguridad at ang proteksyon ng mga potensyal na biktima. Sa kasong ito, ang paglalathala ng isang pagsasamantalang angkop para sa pagsasagawa ng mga pag-atake, kung mayroong malaking bilang ng mga system na hindi pa na-update, ay itinuturing na lumalabag sa mga panuntunan ng GitHub.
Kapansin-pansin na nagsimula ang mga pag-atake noong Enero, bago ang paglabas ng pag-aayos at pagsisiwalat ng impormasyon tungkol sa pagkakaroon ng kahinaan (0-araw). Bago nai-publish ang exploit prototype, humigit-kumulang 100 libong mga server ang na-atake na, kung saan na-install ang isang backdoor para sa remote control.
Ang isang remote na GitHub exploit prototype ay nagpakita ng CVE-2021-26855 (ProxyLogon) na kahinaan, na nagpapahintulot sa data ng isang arbitrary na user na ma-extract nang walang authentication. Kapag isinama sa CVE-2021-27065, pinapayagan din ng kahinaan ang code na isagawa sa server na may mga karapatan ng administrator.
Hindi lahat ng pagsasamantala ay naalis; halimbawa, ang isang pinasimpleng bersyon ng isa pang pagsasamantala na binuo ng koponan ng GreyOrder ay nananatili pa rin sa GitHub. Ang tala ng pagsasamantala ay nagsasaad na ang orihinal na pagsasamantala ng GreyOrder ay inalis pagkatapos idagdag ang karagdagang pagpapagana sa code upang mabilang ang mga user sa mail server, na maaaring magamit upang magsagawa ng malawakang pag-atake sa mga kumpanyang gumagamit ng Microsoft Exchange.
Pinagmulan: opennet.ru