Компанія Microsoft видалила з GitHub код (копія) з прототипом експлоїту, що демонструє принцип дії критичної вразливості в Microsoft Exchange. Подібна дія викликала обурення багатьох дослідників безпеки, оскільки прототип експлоїту було опубліковано після випуску виправлення, що є звичайною практикою.
У правилах GitHub є пункт, що забороняє розміщення в репозиторіях активного шкідливого коду або експлоїтів (тобто атакуючих системи користувачів), а також використання GitHub як платформи для доставки експлоїтів та шкідливого колись в процесі здійснення атак. Але це правило раніше не застосовувалося щодо розміщуваних дослідниками прототипів коду, опублікованих для аналізу методів атаки після випуску виробником виправлення.
Так як зазвичай подібний код не видаляється, дії GitHub були сприйняті як застосування Microsoft адміністративного ресурсу для блокування інформації про вразливість у продукті. Критикуючі звинуватили Microsoft у подвійних стандартах і цензуруванні контенту, що становить великий інтерес для спільноти дослідників безпеки, лише тому, що цей контент завдає шкоди інтересам Microsoft. На думку учасника команди Google Project Zero, практика публікації прототипів експлоїтів виправдана і користь перевищує ризик, тому що немає способу поділитися з іншими фахівцями результатами досліджень, щоб ця інформація не потрапила до рук зловмисників.
Дослідник із компанії Kryptos Logic спробував заперечити, вказавши на те, що в ситуації, коли в мережі ще залишаються понад 50 тисяч неоновлених серверів Microsoft Exchange, публікація готових для здійснення атак прототипів експлоїтів виглядає сумнівно. Шкода, яку може привести рання публікація експлоїтів, перевищує користь для дослідників безпеки, оскільки подібні експоїти наражають на небезпеку велику кількість серверів, на яких ще не встигли встановити оновлення.
Представники GitHub прокоментували видалення порушенням правил сервісу (Acceptable Use Policies) і заявили, що вони розуміють важливість публікації прототипів експлоїтів для дослідних та освітніх цілей, але також усвідомлюють небезпеку від шкоди, яку вони можуть завдати в руках зловмисників. Тому GitHub намагається знайти оптимальний баланс між інтересами спільноти дослідників безпеки та захистом потенційних жертв. В даному випадку публікація придатного для здійснення атак експлоїту за умови наявності великої кількості ще не оновлених систем, визнана порушує правила GitHub.
Примітно, що атаки почалися ще в січні, задовго до випуску виправлення та розкриття відомостей про наявність уразливості (0-day). До публікації прототипу експлоїту вже було атаковано близько 100 тисяч серверів, на які було встановлено бекдор для дистанційного керування.
У віддаленому прототипі GitHub експлоїті демонструвалася вразливість CVE-2021-26855 (ProxyLogon), що дозволяє витягти дані довільного користувача без аутентифікації. У поєднанні з CVE-2021-27065 вразливість також дозволяла виконати свій код на сервері з правами адміністратора.
Не всі есплоїти були видалені, наприклад, на GitHub поки що залишається спрощений варіант ще одного експлоїту, розробленого командою GreyOrder. У примітці до експлоїту зазначено, що оригінальний есплоїт від GreyOrder був видалений після додавання до коду додаткової функціональності, що здійснює перебір користувачів на поштовому сервері, яка могла використовуватися для масових атак на компанії, що застосовують Microsoft Exchange.
Джерело: opennet.ru