GitHub удалил эксплоит для ProxyLogon и подвергся критике - «Новости»

  • 00:00, 14-мар-2021
  • Новости / Преимущества стилей / Самоучитель CSS / Отступы и поля / Изображения / Заработок / Линии и рамки / Текст
  • Marshman
  • 0

Вчера мы писали о том, что независимый ИБ-исследователь из Вьетнама опубликовал на GitHub первый настоящий PoC-эксплоит для серьезного комплекса уязвимостей ProxyLogon, недавно обнаруженных в Microsoft Exchange. Работоспособность этого эксплоита подтвердили известные эксперты, включая Маркуса Хатчинса из Kryptos Logic, Дэниела Карда из PwnDefend и Джона Уэтингтона из Condition Black.


При этом многие отмечали, что публичный релиз PoC-эксплоита сейчас – это крайне сомнительный шаг. К примру, совсем недавно компанию Praetorian подвергли жесткой критике за куда меньший «проступок»: ее специалисты лишь обнародовали подробный обзор уязвимостей ProxyLogin, хотя воздержалась от выпуска собственного эксплоита.


Дело в том, что в настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000-100 000, и их число постоянно продолжает расти, равно как и количество атакующих.


Учитывая всю серьезность ситуации, уже через несколько часов после публикации эксплоита тот был удален с GitHub администрацией сервиса. Из-за этого некоторые участники ИБ-сообщества пришли в ярость и немедленно обвинили Microsoft в цензуре контента, представляющего жизненный интерес для специалистов по безопасности со всего мира.


Так, многие исследователи говорят, что GitHub придерживается двойных стандартов, которые позволяют компании использовать PoC-эксплоиты для исправления уязвимостей, влияющих на ПО других компаний, но при этом аналогичные PoC для продуктов Microsoft удаляются.


«Ух ты. У меня нет слов. Microsoft действительно удалила PoC-код с GitHub. Это чудовищно, удалить с GitHub код ИБ-исследователя, направленный на их собственный продукт, который уже получил патчи», — пишет в Twitter Дэйв Кеннеди, основатель компании TrustedSec.


В той же социальной сети эксперт Google Project Zero Тэвис Орманди спорит с Маркусом Хатчинсом. Последний говорит, что не совсем понимает, какую пользу могла принести хоть кому-то публикация работающего RCE-эксплоита, на что Орманди отвечает:


«Есть ли польза от Metasploit, или буквально все, кто его используют — скрипткидди? К сожалению, невозможно поделиться исследованиями и инструментами с профессионалами, не поделившись ими еще и со злоумышленниками, но многие люди (например, я) считают, что преимущества перевешивают риски».


В свою очередь Хатчинс пишет, что аргумент об уже исправленных уязвимостях несостоятелен, так как около 50 000 серверов по всему миру по-прежнему уязвимы.


«”Уже вышли патчи”. Чувак, есть более 50 000 непропатченных серверов Exchange. Выпуск полностью готовой к работе цепочки RCE — это не исследование безопасности, это безрассудство и глупость.


Я и раньше видел, как GitHub удаляет вредоносный код, и не только код, нацеленный на продукты Microsoft.  Очень сомневаюсь, что MS сыграла какую-то роль в этом удалении, [эксплоит] просто нарушал политику GitHub в отношении активного вредоносное ПО или эксплоитов, ведь он появился совсем недавно, а над огромным количеством серверов нависла угроза атак вымогателей», — говорит Хатчинс.


Представители GitHub сообщили журналистам, что эксплоит, конечно, имел образовательную и исследовательскую ценность для сообщества, однако компания вынуждена поддерживать баланс и помнить о необходимости сохранения безопасности более широкой экосистемы. Поэтому, в соответствии с правилами сервиса, эксплоит для недавно обнаруженной уязвимости, которая прямо сейчас активно используется для атак, все же был удален из открытого доступа.


Вчера мы писали о том, что независимый ИБ-исследователь из Вьетнама опубликовал на GitHub первый настоящий PoC-эксплоит для серьезного комплекса уязвимостей ProxyLogon, недавно обнаруженных в Microsoft Exchange. Работоспособность этого эксплоита подтвердили известные эксперты, включая Маркуса Хатчинса из Kryptos Logic, Дэниела Карда из PwnDefend и Джона Уэтингтона из Condition Black. При этом многие отмечали, что публичный релиз PoC-эксплоита сейчас – это крайне сомнительный шаг. К примру, совсем недавно компанию Praetorian подвергли жесткой критике за куда меньший «проступок»: ее специалисты лишь обнародовали подробный обзор уязвимостей ProxyLogin, хотя воздержалась от выпуска собственного эксплоита. Дело в том, что в настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000-100 000, и их число постоянно продолжает расти, равно как и количество атакующих. Учитывая всю серьезность ситуации, уже через несколько часов после публикации эксплоита тот был удален с GitHub администрацией сервиса. Из-за этого некоторые участники ИБ-сообщества пришли в ярость и немедленно обвинили Microsoft в цензуре контента, представляющего жизненный интерес для специалистов по безопасности со всего мира. Так, многие исследователи говорят, что GitHub придерживается двойных стандартов, которые позволяют компании использовать PoC-эксплоиты для исправления уязвимостей, влияющих на ПО других компаний, но при этом аналогичные PoC для продуктов Microsoft удаляются. «Ух ты. У меня нет слов. Microsoft действительно удалила PoC-код с GitHub. Это чудовищно, удалить с GitHub код ИБ-исследователя, направленный на их собственный продукт, который уже получил патчи», — пишет в Twitter Дэйв Кеннеди, основатель компании TrustedSec. В той же социальной сети эксперт Google Project Zero Тэвис Орманди спорит с Маркусом Хатчинсом. Последний говорит, что не совсем понимает, какую пользу могла принести хоть кому-то публикация работающего RCE-эксплоита, на что Орманди отвечает: «Есть ли польза от Metasploit, или буквально все, кто его используют — скрипткидди? К сожалению, невозможно поделиться исследованиями и инструментами с профессионалами, не поделившись ими еще и со злоумышленниками, но многие люди (например, я) считают, что преимущества перевешивают риски». В свою очередь Хатчинс пишет, что аргумент об уже исправленных уязвимостях несостоятелен, так как около 50 000 серверов по всему миру по-прежнему уязвимы. «”Уже вышли патчи”. Чувак, есть более 50 000 непропатченных серверов Exchange. Выпуск полностью готовой к работе цепочки RCE — это не исследование безопасности, это безрассудство и глупость. Я и раньше видел, как GitHub удаляет вредоносный код, и не только код, нацеленный на продукты Microsoft. Очень сомневаюсь, что MS сыграла какую-то роль в этом удалении, _

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!