Microsoft, Microsoft Exchange'deki kritik bir güvenlik açığının çalışma prensibini gösteren bir prototip istismarıyla kodu (kopyayı) GitHub'dan kaldırdı. Bu eylem birçok güvenlik araştırmacısı arasında öfkeye neden oldu, çünkü yaygın bir uygulama olan yamanın yayınlanmasından sonra istismarın prototipi yayınlandı.
GitHub kuralları, aktif kötü amaçlı kodların veya açıklardan yararlanmaların (yani kullanıcı sistemlerine saldıranların) depolara yerleştirilmesini ve ayrıca GitHub'un saldırılar sırasında açıklardan yararlanma ve kötü amaçlı kod dağıtmak için bir platform olarak kullanılmasını yasaklayan bir madde içerir. Ancak bu kural, bir satıcı bir yama yayınladıktan sonra saldırı yöntemlerini analiz etmek için yayınlanan, araştırmacı tarafından barındırılan kod prototiplerine daha önce uygulanmamıştı.
Bu tür kodlar genellikle kaldırılmadığından GitHub'ın eylemleri, Microsoft'un ürünündeki güvenlik açığıyla ilgili bilgileri engellemek için idari kaynakları kullanması olarak algılandı. Eleştirmenler, Microsoft'u çifte standartla ve güvenlik araştırma topluluğunun yüksek ilgisini çeken içeriği sırf Microsoft'un çıkarlarına zarar verdiği için sansürlemekle suçladı. Google Project Zero ekibinin bir üyesine göre, bu bilgiler saldırganların eline geçmeden araştırma sonuçlarını diğer uzmanlarla paylaşmanın bir yolu olmadığından, istismar prototiplerinin yayınlanması uygulaması haklıdır ve faydası riskten daha ağır basmaktadır.
Kryptos Logic'ten bir araştırmacı, ağda hala 50 binden fazla güncellenmemiş Microsoft Exchange sunucusunun bulunduğu bir durumda, saldırılara hazır istismar prototiplerinin yayınlanmasının şüpheli göründüğüne işaret ederek itiraz etmeye çalıştı. Açıklardan yararlanmaların erken yayınlanmasının neden olabileceği zarar, güvenlik araştırmacıları için faydadan daha ağır basmaktadır; çünkü bu tür açıklardan yararlanmalar, henüz güncellenmemiş çok sayıda sunucuyu açığa çıkarmaktadır.
GitHub temsilcileri, kaldırma işlemini hizmetin Kabul Edilebilir Kullanım Politikalarının ihlali olarak yorumladı ve istismar prototiplerini araştırma ve eğitim amaçlı yayınlamanın önemini anladıklarını, ancak aynı zamanda saldırganların elinde neden olabilecekleri zarar tehlikesinin de farkında olduklarını belirtti. Bu nedenle GitHub, güvenlik araştırma topluluğunun çıkarları ile potansiyel kurbanların korunması arasında en uygun dengeyi bulmaya çalışıyor. Bu durumda, henüz güncellenmemiş çok sayıda sistem olması koşuluyla, saldırı gerçekleştirmeye uygun bir istismarın yayınlanmasının GitHub kurallarını ihlal ettiği kabul edilir.
Saldırıların, düzeltmenin yayınlanmasından ve güvenlik açığının varlığına ilişkin bilgilerin açıklanmasından (0 gün) çok önce, Ocak ayında başlaması dikkat çekicidir. Açıklardan yararlanma prototipi yayınlanmadan önce, uzaktan kontrol için bir arka kapının kurulduğu yaklaşık 100 bin sunucuya saldırı yapılmıştı.
Uzak bir GitHub istismar prototipi, rastgele bir kullanıcının verilerinin kimlik doğrulaması olmadan çıkarılmasına izin veren CVE-2021-26855 (ProxyLogon) güvenlik açığını gösterdi. Güvenlik açığı, CVE-2021-27065 ile birleştirildiğinde sunucuda yönetici haklarıyla kod yürütülmesine de olanak tanıyordu.
Açıkların tümü kaldırılmadı; örneğin, GreyOrder ekibi tarafından geliştirilen başka bir açıktan yararlanmanın basitleştirilmiş bir versiyonu hala GitHub'da duruyor. Yararlanma notu, orijinal GreyOrder istismarının, posta sunucusundaki kullanıcıları numaralandırmak için koda ek işlevsellik eklendikten sonra kaldırıldığını ve bunun Microsoft Exchange kullanan şirketlere toplu saldırılar gerçekleştirmek için kullanılabileceğini belirtiyor.
Kaynak: opennet.ru