Microsoft удалила код эксплойта из GitHub
Microsoft удалила код прототипа эксплойта из GitHub. Он показывал, как работает уязвимость в Microsoft Exchange. Осталась копия, так что не всё потеряно.
Исследователи безопасности публично возмутились из-за действий Microsoft, ведь код удалили уже после устранения проблемы.
GitHub в правилах указал, что публиковать код активного эксплойта или распространять такие коды во время атаки нельзя. Но впервые из платформы удалили код, который показывал принцип работы уже исправленной уязвимости.
Если по правилам GitHub удалять такой код нельзя, пользователи расценили это как давление Microsoft и обвинили компанию в лицемерии. Для исследователей такие кейсы очень ценны, но для Microsoft репутация оказалась важнее.
Эксперт по безопасности Google Тейвис Орманди твитнул, что в таких действиях мало смысла, а сообщество исследователей не получает нужную для устранения схожих уязвимостей информацию.
Исследователь Маркус Хатчинс возразил: необновлённых серверов Microsoft Exchange в мире больше 50 тысяч, поэтому неправильно было вообще публиковать этот код. Это подвергает риску огромное число компаний.
Оказалось, GitHub на стороне Хатчинса: в комментарии они заявили, что осознают ценность таких публикаций, но в этом случае риски и потенциальный ущерб очень большие. 50 тысяч серверов — это не 50, поэтому публикацию назвали нарушающей правила сервиса.
Вообще атаки начались в январе 2021 года, а сообщение 0-day появилось лишь в марте. До публикации кода злоумышленники атаковали 100 тысяч серверов с бэкдором для удалённого доступа.
В удалённом эксплойте использовалась уязвимость CVE-2021-26855 — она даёт извлечь данные случайного пользователя без аутентификации. Вместе с CVE-2021-27065 она даёт выполнить свой код от имени администратора.