Microsoft 已从 GitHub 中删除了带有原型漏洞的代码(副本),该原型漏洞演示了 Microsoft Exchange 中关键漏洞的操作原理。 这一行为引起了许多安全研究人员的愤怒,因为该漏洞的原型是在补丁发布后发布的,这是常见的做法。
GitHub 规则包含一项条款,禁止在存储库中放置活动的恶意代码或漏洞(即攻击用户系统的代码),以及禁止使用 GitHub 作为在攻击期间传递漏洞和恶意代码的平台。 但这条规则此前并未应用于研究人员托管的代码原型,这些代码原型是在供应商发布补丁后发布的用于分析攻击方法的代码原型。
由于此类代码通常不会被删除,因此 GitHub 的行为被视为 Microsoft 使用管理资源来阻止有关其产品中的漏洞的信息。 批评者指责微软实行双重标准,并审查安全研究界高度感兴趣的内容,仅仅是因为这些内容损害了微软的利益。 谷歌零号项目团队的一名成员表示,发布漏洞利用原型的做法是合理的,而且收益大于风险,因为如果这些信息不落入攻击者手中,就无法与其他专家共享研究结果。
Kryptos Logic 的一名研究人员试图反对,他指出,在网络上仍有超过 50 万台未更新的 Microsoft Exchange 服务器的情况下,发布可供攻击的漏洞利用原型似乎值得怀疑。 对于安全研究人员来说,过早发布漏洞可能造成的危害大于其好处,因为此类漏洞会暴露大量尚未更新的服务器。
GitHub 代表评论称,删除行为违反了该服务的可接受使用政策,并表示他们了解出于研究和教育目的发布漏洞利用原型的重要性,但也认识到它们可能在攻击者手中造成损害的危险。 因此,GitHub 正在努力在安全研究社区的利益和保护潜在受害者之间找到最佳平衡点。 在这种情况下,如果有大量系统尚未更新,则发布适合进行攻击的漏洞利用程序将被视为违反 GitHub 规则。
值得注意的是,攻击始于 0 月份,远早于发布修复程序和披露有关漏洞存在的信息(100 天)。 在漏洞原型发布之前,已有约XNUMX万台服务器受到攻击,并安装了远程控制后门。
远程 GitHub 漏洞利用原型演示了 CVE-2021-26855 (ProxyLogon) 漏洞,该漏洞允许在未经身份验证的情况下提取任意用户的数据。 与 CVE-2021-27065 结合使用时,该漏洞还允许以管理员权限在服务器上执行代码。
并非所有漏洞都已被删除;例如,GreyOrder 团队开发的另一个漏洞的简化版本仍然保留在 GitHub 上。 漏洞说明指出,在代码中添加了额外的功能以枚举邮件服务器上的用户后,原始的 GreyOrder 漏洞已被删除,该功能可用于对使用 Microsoft Exchange 的公司进行大规模攻击。
来源: opennet.ru