Różności i nowinki technologia

Krytycy wściekają się, gdy Github usunął kod wykorzystujący luki w oprogramowaniu Exchange

Krytycy wściekają się, gdy Github usunął kod exploita dla luk w oprogramowaniu Exchange

Github

Github wywołał burzę po tym, jak należące do Microsoftu repozytorium udostępniania kodu usunęło exploit służący do weryfikacji koncepcji krytycznych luk w Microsoft Exchange, które doprowadziły do ​​aż 100 000 infekcji serwerów w ostatnich tygodniach.

ProxyLogon to nazwa, którą badacze nadali zarówno czterem lukom w oprogramowaniu Exchange, które są atakowane na wolności, jak i kodowi, który je wykorzystuje. Naukowcy twierdzą, że Hafnium, sponsorowana przez państwo grupa hakerska z siedzibą w Chinach, zaczęła wykorzystywać ProxyLogon w styczniu, a w ciągu kilku tygodni pięć innych APT – w skrócie grup zaawansowanych trwałych zagrożeń – poszło w ich ślady. Do tej pory nie mniej niż 10 APT używało ProxyLogon do atakowania serwerów na całym świecie.

Firma Microsoft wydała poprawki awaryjne w zeszłym tygodniu, ale we wtorek szacuje się, że około 125 000 serwerów Exchange jeszcze go nie zainstalowało, podała firma bezpieczeństwa Palo Alto Networks. FBI oraz Agencja ds. Cyberbezpieczeństwa i Infrastruktury ostrzegają, że ProxyLogon stanowi poważne zagrożenie dla firm, organizacji non-profit i agencji rządowych, które pozostają podatne na ataki.

W środę pewien naukowiec opublikował coś, co uważa się za pierwszy w dużej mierze działający exploit wykorzystujący luki w zabezpieczeniach (PoC). Z Wietnamu badacz opublikował również post na Medium opisujący, jak działa exploit. Po wprowadzeniu kilku poprawek hakerzy mieliby większość tego, czego potrzebowali, aby uruchomić własne dzikie RCE, bezpieczeństwo przemawia za exploitami umożliwiającymi zdalne wykonanie kodu.

Publikowanie exploitów PoC dla załatanych luk w zabezpieczeniach jest standardową praktyką wśród badaczy bezpieczeństwa. Pomaga im zrozumieć, jak działają ataki, dzięki czemu mogą budować lepszą obronę. Platforma hakerska Metasploit o otwartym kodzie źródłowym zapewnia wszystkie narzędzia potrzebne do wykorzystania dziesiątek tysięcy załatanych exploitów i jest używana zarówno przez czarne, jak i białe kapelusze.

Jednak w ciągu kilku godzin od uruchomienia PoC, Github usunął go. W czwartek niektórzy badacze wściekali się na temat usunięcia. Krytycy oskarżyli Microsoft o cenzurowanie treści o żywotnym znaczeniu dla społeczności zajmującej się bezpieczeństwem, ponieważ szkodziło to interesom Microsoft. Niektórzy krytycy zobowiązali się w odpowiedzi usunąć znaczną część swoich prac na Githubie.

„Wow, zaniemówiłem” – powiedział Dave Kennedy, założyciel firmy ochroniarskiej TrustedSec, napisał na Twitterze. „Firma Microsoft naprawdę usunęła kod PoC z Github. To jest ogromne, ponieważ usuwa kod analityka bezpieczeństwa z GitHub przeciwko ich własnemu produktowi i który został już załatany. ”

TrustedSec to jedna z niezliczonych firm zajmujących się bezpieczeństwem, która została przytłoczona desperackimi telefonami od organizacji dotkniętych przez ProxyLogon. Wielu rówieśników Kennedy’ego zgodziło się z jego odczuciami.

„Czy metasploit ma jakąś korzyść, czy też dosłownie każdy, kto go używa, jest dzieckiem skryptowym?” powiedziany Tavis Ormandy, członek Google Project Zero, grupy badającej luki w zabezpieczeniach, która regularnie publikuje PoC niemal natychmiast po udostępnieniu łatki. „To niefortunne, że nie ma sposobu na udostępnienie badań i narzędzi profesjonalistom bez udostępnienia ich również atakującym, ale wiele osób (takich jak ja) uważa, że ​​korzyści przeważają nad ryzykiem.

Niektórzy badacze twierdzili, że Github miał podwójny standard, który pozwalał na kod PoC dla załatanych luk w oprogramowaniu innych organizacji, ale usunął je z produktów Microsoft. Microsoft odmówił komentarza, a Github nie odpowiedział na e-mail z prośbą o komentarz.

Odmienny pogląd

Marcus Hutchins, badacz bezpieczeństwa w Kryptos Logic, odepchnął tych krytyków. Powiedział, że Github rzeczywiście usunął PoC dla załatanych luk w oprogramowaniu firm innych niż Microsoft. Zrobił również argumenty za usunięciem exploita Exchange przez Github.

„Widziałem już wcześniej, że Github usuwa złośliwy kod, a nie tylko kod przeznaczony dla produktów firmy Microsoft” – powiedział mi w bezpośredniej wiadomości. „Bardzo wątpię, że MS odegrało jakąkolwiek rolę w usuwaniu i po prostu naruszyło zasady Githuba„ Aktywne złośliwe oprogramowanie lub exploity ”w [terms of service], ze względu na to, że exploit powstał bardzo niedawno, a duża liczba serwerów jest narażona na bezpośrednie ryzyko ransomware ”.

Odpowiadając Kennedy’emu na Twitterze, Hutchins dodał:

„„ Został już załatany ”- powiedział napisał. „Stary, istnieje ponad 50 000 niezałatanych serwerów wymiany. Wydanie pełnego gotowego do użycia łańcucha RCE nie jest badaniem bezpieczeństwa, to lekkomyślność i głupota ”.

Post opublikowany przez Motherboard zawierał oświadczenie z Github, które potwierdziło przypuszczenia Hutchinsa, że ​​PoC został usunięty, ponieważ naruszył warunki korzystania z usługi Github. Oświadczenie brzmiało:

„Rozumiemy, że publikacja i dystrybucja kodu exploitów typu proof of concept ma wartość edukacyjną i badawczą dla społeczności zajmującej się bezpieczeństwem, a naszym celem jest zrównoważenie tych korzyści z zachowaniem bezpieczeństwa szerszego ekosystemu” – powiedział rzecznik w e-mailu. „Zgodnie z naszymi Zasadami dopuszczalnego użytkowania wyłączyliśmy sedno po zgłoszeniach, że zawiera on kod potwierdzający koncepcję dla niedawno ujawnionej luki, która jest aktywnie wykorzystywana.

PoC usunięty z Github pozostaje dostępny w witrynach archiwów. Ars nie łączy się z nim ani postem Medium, dopóki więcej serwerów nie zostanie załatanych.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook