Критика Microsoft после удаления из GitHub прототипа эксплоита для Microsoft Exchange
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Microsoft удалила из GitHub код (копия) с прототипом эксплоита, демонстрирующем принцип действия критической уязвимости в Microsoft Exchange. Подобное действие вызвало возмущение многих исследователей безопасности, так как прототип эксплоита был опубликован после выпуска исправления, что является обычной практикой.
Позднее представители GitHub прокомментировали удаление наличием в правилах GitHub пункта, запрещающего размещение в репозиториях вредоносного кода или эксплоитов. Но данное правило раньше не применялось в отношении размещаемых исследователями прототипов кода, опубликованных для разбора методов атаки после выпуска производителем исправления.
Так как обычно подобный код не удаляется, действия GitHub были восприняты как применение Microsoft административного ресурса для блокирования информации об уязвимости в своём продукте. Критикующие обвинили Microsoft в двойных стандартах и цензурировании контента, представляющего большой интерес для сообщества исследователей безопасности, лишь потому, что этот контент наносит ущерб интересам Microsoft. По мнению участника команды Google Project Zero, практика публикации прототипов эксплоитов оправдана и польза превышает риск, так как нет способа поделится с другими специалистами результатами исследований, так чтобы эта информация не попала в руки злоумышленников.
Исследователь из компании Kryptos Logic попытался возразить, указав на то, что в ситуации, когда в сети ещё остаются более 50 тысяч необновлённых серверов Microsoft Exchange публикация готовых для совершения атак прототипов эксплоитов выглядит сомнительно. Вред, который может привести ранняя публикация эксплоитов, превышает пользу для исследователей безопасности, так как подобные экспоиты подвергают опасности большое количество серверов, на которых ещё не успели установить обновления.
Представители GitHub указали, что они понимают важность публикации прототипов эксплоитов для исследовательских и образовательных целей, но также осознают опасность от ущерба, который они могут нанести в руках злоумышленников. Поэтому GitHub пытается найти оптимальный баланс между интересами сообщества исследователей безопасности и защитой потенциальных жертв. В рассматриваемом случае, публикация пригодного для совершения атак эксплоита при условии наличия большого числа ещё не обновлённых систем, признана нарушающей правила GitHub.
Примечательно, что атаки начались ещё в январе, задолго до выпуска исправления и раскрытия сведений о наличии уязвимости (0-day). До публикации прототипа эксплоита уже было атаковано около 100 тысяч серверов, на которые был установлен бэкдор для удалённого управления.
В удалённом GitHub прототипе эксплоите демонстрировалась уязвимость CVE-2021-26855 (ProxyLogon), позволяющая извлечь данные произвольного пользователя без аутентификации. В сочетании с CVE-2021-27065 уязвимость также позволяла выполнить свой код на сервере с правами администратора.
Не все эсплоиты были удалены, например, на GitHub пока остаётся упрощённый вариант ещё одного эксплоита, разработанного командой GreyOrder. В примечании к эксплоиту указано, что оригинальный эсплоит от GreyOrder был удалён после добавления в код дополнительной функциональности, осуществляющей перебор пользователей на почтовом сервере, которая могла использоваться для совершения массовых атак на компании, применяющие Microsoft Exchange.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.theregister.com/20...)
- OpenNews: Грег Кроа-Хартман раскритиковал поведение Intel при исправлении уязвимостей Meltdown и Spectre
- OpenNews: Атаковавшие SolarWinds смогли получить доступ к коду Microsoft (дополняется)
- OpenNews: GitHub разблокировал youtube-dl и принял меры для исключения необоснованных блокировок
- OpenNews: GitHub опубликовал отчёт о блокировках в 2020 году
- OpenNews: Microsoft успешно завершил сделку по покупке GitHub
Похожие новости:
- [Информационная безопасность, GitHub, Софт, IT-компании] GitHub заблокировал репозиторий с демонстрацией уязвимости ProxyLogon в Microsoft Exchange
- [Информационная безопасность, GitHub, IT-компании] GitHub разлогинил всех пользователей из-за опасений о безопасности
- GitHub устранил уязвимость, приводившую к подмене сеанса пользователя
- [Информационная безопасность, Системное администрирование, GitHub, Софт, IT-компании] Microsoft запустила информационный портал об уязвимости ProxyLogon и опубликовала скрипт для проверки серверов Exchange
- [Разработка веб-сайтов, Python, Django, Функциональное программирование] Делаем тесты частью приложения (перевод)
- [Программирование, Git, GitHub, Лайфхаки для гиков] Продвинутые функции гита, о которых вы, возможно, не знали (перевод)
- [Ненормальное программирование, GitHub, Разработка для Office 365, IT-компании] Microsoft представила язык программирования Power Fx
- [GitHub, Разработка под MacOS, Компьютерное железо, Ноутбуки] Программист добавил в утилиту ethminer поддержку Mac c M1, новый MacBook Air майнит Ethereum по $0.14 в сутки
- [GitHub, Законодательство в IT, IT-компании] GitHub опубликовал отчет о блокировках и удалении контента пользователей за 2020 год
- GitHub опубликовал отчёт о блокировках в 2020 году
Теги для поиска: #_github
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 16:11
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Компания Microsoft удалила из GitHub код (копия) с прототипом эксплоита, демонстрирующем принцип действия критической уязвимости в Microsoft Exchange. Подобное действие вызвало возмущение многих исследователей безопасности, так как прототип эксплоита был опубликован после выпуска исправления, что является обычной практикой. Позднее представители GitHub прокомментировали удаление наличием в правилах GitHub пункта, запрещающего размещение в репозиториях вредоносного кода или эксплоитов. Но данное правило раньше не применялось в отношении размещаемых исследователями прототипов кода, опубликованных для разбора методов атаки после выпуска производителем исправления. Так как обычно подобный код не удаляется, действия GitHub были восприняты как применение Microsoft административного ресурса для блокирования информации об уязвимости в своём продукте. Критикующие обвинили Microsoft в двойных стандартах и цензурировании контента, представляющего большой интерес для сообщества исследователей безопасности, лишь потому, что этот контент наносит ущерб интересам Microsoft. По мнению участника команды Google Project Zero, практика публикации прототипов эксплоитов оправдана и польза превышает риск, так как нет способа поделится с другими специалистами результатами исследований, так чтобы эта информация не попала в руки злоумышленников. Исследователь из компании Kryptos Logic попытался возразить, указав на то, что в ситуации, когда в сети ещё остаются более 50 тысяч необновлённых серверов Microsoft Exchange публикация готовых для совершения атак прототипов эксплоитов выглядит сомнительно. Вред, который может привести ранняя публикация эксплоитов, превышает пользу для исследователей безопасности, так как подобные экспоиты подвергают опасности большое количество серверов, на которых ещё не успели установить обновления. Представители GitHub указали, что они понимают важность публикации прототипов эксплоитов для исследовательских и образовательных целей, но также осознают опасность от ущерба, который они могут нанести в руках злоумышленников. Поэтому GitHub пытается найти оптимальный баланс между интересами сообщества исследователей безопасности и защитой потенциальных жертв. В рассматриваемом случае, публикация пригодного для совершения атак эксплоита при условии наличия большого числа ещё не обновлённых систем, признана нарушающей правила GitHub. Примечательно, что атаки начались ещё в январе, задолго до выпуска исправления и раскрытия сведений о наличии уязвимости (0-day). До публикации прототипа эксплоита уже было атаковано около 100 тысяч серверов, на которые был установлен бэкдор для удалённого управления. В удалённом GitHub прототипе эксплоите демонстрировалась уязвимость CVE-2021-26855 (ProxyLogon), позволяющая извлечь данные произвольного пользователя без аутентификации. В сочетании с CVE-2021-27065 уязвимость также позволяла выполнить свой код на сервере с правами администратора. Не все эсплоиты были удалены, например, на GitHub пока остаётся упрощённый вариант ещё одного эксплоита, разработанного командой GreyOrder. В примечании к эксплоиту указано, что оригинальный эсплоит от GreyOrder был удалён после добавления в код дополнительной функциональности, осуществляющей перебор пользователей на почтовом сервере, которая могла использоваться для совершения массовых атак на компании, применяющие Microsoft Exchange. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 16:11
Часовой пояс: UTC + 5