Microsoft 已從 GitHub 中刪除了帶有原型漏洞的程式碼(副本),該原型漏洞演示了 Microsoft Exchange 中關鍵漏洞的操作原理。 這一行為引起了許多安全研究人員的憤怒,因為該漏洞的原型是在補丁發布後發布的,這是常見的做法。
GitHub 規則包含一項條款,禁止在儲存庫中放置活動的惡意程式碼或漏洞(即攻擊使用者係統的程式碼),以及禁止使用 GitHub 作為在攻擊期間傳遞漏洞和惡意程式碼的平台。 但這條規則先前並未應用於研究人員託管的程式碼原型,這些程式碼原型是在供應商發布修補程式後發布的用於分析攻擊方法的程式碼原型。
由於此類程式碼通常不會被刪除,因此 GitHub 的行為被視為 Microsoft 使用管理資源來阻止有關其產品中的漏洞的資訊。 批評者指責微軟採取雙重標準並審查安全研究界高度感興趣的內容,只是因為這些內容損害了微軟的利益。 谷歌零號專案團隊的一名成員表示,發布漏洞利用原型的做法是合理的,而且效益大於風險,因為如果這些資訊不落入攻擊者手中,就無法與其他專家分享研究結果。
Kryptos Logic 的一名研究人員試圖反對,他指出,在網路上仍有超過 50 萬台未更新的 Microsoft Exchange 伺服器的情況下,發布可供攻擊的漏洞利用原型似乎值得懷疑。 對於安全研究人員來說,過早發布漏洞可能造成的危害大於其好處,因為此類漏洞會暴露大量尚未更新的伺服器。
GitHub 代表評論稱,刪除行為違反了該服務的可接受使用政策,並表示他們了解出於研究和教育目的發布漏洞利用原型的重要性,但也認識到它們可能在攻擊者手中造成損害的危險。 因此,GitHub 正在努力在安全研究社群的利益和保護潛在受害者之間找到最佳平衡。 在這種情況下,如果有大量系統尚未更新,則發布適合進行攻擊的漏洞程式將被視為違反 GitHub 規則。
值得注意的是,攻擊始於 0 月份,遠早於發布修復程式和揭露有關漏洞存在的資訊(100 天)。 在漏洞原型發布之前,已有約XNUMX萬台伺服器受到攻擊,並安裝了遠端控制後門。
遠端 GitHub 漏洞利用原型演示了 CVE-2021-26855 (ProxyLogon) 漏洞,該漏洞允許在未經身份驗證的情況下提取任意使用者的資料。 與 CVE-2021-27065 結合使用時,此漏洞也允許以管理員權限在伺服器上執行程式碼。
並非所有漏洞都已被刪除;例如,GreyOrder 團隊開發的另一個漏洞的簡化版本仍然保留在 GitHub 上。 漏洞說明指出,在程式碼中添加了額外的功能以列舉郵件伺服器上的使用者後,原始的 GreyOrder 漏洞已被刪除,該功能可用於對使用 Microsoft Exchange 的公司進行大規模攻擊。
來源: opennet.ru