Вчера мы писали о том, что независимый ИБ-исследователь из Вьетнама опубликовал на GitHub первый настоящий PoC-эксплоит для серьезного комплекса уязвимостей ProxyLogon, недавно обнаруженных в Microsoft Exchange. Работоспособность этого эксплоита подтвердили известные эксперты, включая Маркуса Хатчинса из Kryptos Logic, Дэниела Карда из PwnDefend и Джона Уэтингтона из Condition Black.
При этом многие отмечали, что публичный релиз PoC-эксплоита сейчас – это крайне сомнительный шаг. К примру, совсем недавно компанию Praetorian подвергли жесткой критике за куда меньший «проступок»: ее специалисты лишь обнародовали подробный обзор уязвимостей ProxyLogon, хотя воздержалась от выпуска собственного эксплоита.
Дело в том, что в настоящее время по меньшей мере десять хак-групп эксплуатируют ошибки ProxyLogon для установки бэкдоров на серверы Exchange по всему миру. По разным оценкам, количество пострадавших компаний и организаций уже достигло 30 000-100 000, и их число постоянно продолжает расти, равно как и количество атакующих.
Учитывая всю серьезность ситуации, уже через несколько часов после публикации эксплоита тот был удален с GitHub администрацией сервиса. Из-за этого некоторые участники ИБ-сообщества пришли в ярость и немедленно обвинили Microsoft в цензуре контента, представляющего жизненный интерес для специалистов по безопасности со всего мира.
Так, многие исследователи говорят, что GitHub придерживается двойных стандартов, которые позволяют компании использовать PoC-эксплоиты для исправления уязвимостей, влияющих на ПО других компаний, но при этом аналогичные PoC для продуктов Microsoft удаляются.
«Ух ты. У меня нет слов. Microsoft действительно удалила PoC-код с GitHub. Это чудовищно, удалить с GitHub код ИБ-исследователя, направленный на их собственный продукт, который уже получил патчи», — пишет в Twitter Дэйв Кеннеди, основатель компании TrustedSec.
В той же социальной сети эксперт Google Project Zero Тэвис Орманди спорит с Маркусом Хатчинсом. Последний говорит, что не совсем понимает, какую пользу могла принести хоть кому-то публикация работающего RCE-эксплоита, на что Орманди отвечает:
«Есть ли польза от Metasploit, или буквально все, кто его используют — скрипткидди? К сожалению, невозможно поделиться исследованиями и инструментами с профессионалами, не поделившись ими еще и со злоумышленниками, но многие люди (например, я) считают, что преимущества перевешивают риски».
В свою очередь Хатчинс пишет, что аргумент об уже исправленных уязвимостях несостоятелен, так как около 50 000 серверов по всему миру по-прежнему уязвимы.
«”Уже вышли патчи”. Чувак, есть более 50 000 непропатченных серверов Exchange. Выпуск полностью готовой к работе цепочки RCE — это не исследование безопасности, это безрассудство и глупость.
Я и раньше видел, как GitHub удаляет вредоносный код, и не только код, нацеленный на продукты Microsoft. Очень сомневаюсь, что MS сыграла какую-то роль в этом удалении, [эксплоит] просто нарушал политику GitHub в отношении активного вредоносное ПО или эксплоитов, ведь он появился совсем недавно, а над огромным количеством серверов нависла угроза атак вымогателей», — говорит Хатчинс.
Представители GitHub сообщили журналистам, что эксплоит, конечно, имел образовательную и исследовательскую ценность для сообщества, однако компания вынуждена поддерживать баланс и помнить о необходимости сохранения безопасности более широкой экосистемы. Поэтому, в соответствии с правилами сервиса, эксплоит для недавно обнаруженной уязвимости, которая прямо сейчас активно используется для атак, все же был удален из открытого доступа.