На фона на увеличаващите се атаки към Proxylogon – сборът от уязвимости за Microsoft Exchange, позволяващ превземането на инсталациите – разработчик по сигурността публикува PoC (proof-of-concept) код в GitHub, предават The Record. Скоро след това той е бил премахнат, а Microsoft си навлече критика.

По-рано тази седмица, Microsoft публикува мартенския пакет с обновления за Windows. В него присъстваха кръпки за цели четири непокрити уязвимости, които се атакуват в момента. Става дума за проблеми в имейл софтуера на компанията Exchange. Уязвимостите (най-сериозната, от които CVE-2021-26855) позволяват на произволна страна, нямаща специални права пред сървъра, да поеме пълен контрол над Exchange инсталацията – да чете, пише и модифицира информация на сървъра по дистанционен път. Както вече ви разказахме, компания с името DEVCORE, заедно с други две компании, независимо една от други, откриват въпросните проблеми в началото на януари. DEVCORE изпращат доклад за това на Microsoft, които още на шести същия месец потвърждават наличието на уязвимостите. За разлика от DEVCORE, другите две компании (Volexity и Dubex) се натъкват на проблемите след доклади на техни клиенти и регистриране на необичайна активност. Междувременно, атаките към Proxylogon се засилват, като се регистрира своеобразен техен ръст в края на миналия месец – дни преди Microsoft да издаде мартенските обновления, в които присъстват кръпки за слабостите в Exchange. От компанията описват ситуацията в специална блог публикация в началото на този месец, сочейки китайска кибершпионска група, която ги атакува – впоследствие става ясно, че атаките идват от далеч повече страни. А в средата на тази седмица, един виетнамски програмист реши да публикува код, който може да се използва за атака към Proxylogon. Направи го в GitHub, световното хранилище за код, собственост именно на Microsoft. Които на свой ред побързали и премахнали публикуваното от разработчика.

Нгуен Янг, както е името му, публикува PoC, обединяващ CVE-2021–26855 и CVE-2021–27065, чрез които непривилегирована страна може да преодолее изискването за удостоверяване пред сървъра и изпълни зловреден код към него. Специалисти коментират пред медията, че с леки корекции, това може да се използва за експлоатиране на уязвимостите. Появата на кода на Янг в GitHub възмути разработчици по сигурността, вземайки предвид това, че Microsoft издаде обновления за уязвимостите едва тази седмица и десетки Exchange сървъри по целия свят все още не са обновени.

„Сериозен въпрос: с публикуваните кръпки, набиращо скорост масово експлоатиране в глобален мащаб и циркулирането на новините за Exchange уязвимостите по всички медии… има ли някаква разумна причина разработчик да публикува публично PoC? Не се сещам за друга причина освен его или да помагаш да се извърши престъпление“, коментира един от недоволните специалисти по сигурност – Джейсън Кикта.

„За да си разработчика, който е причинил милиарди долари загуби от рансъмуер чрез пускането на експлойт код в GitHub първи? Защото повече слава означава повече предложения за работа, което значи повече пари“, коментира друг под публикацията.

Няколко часа след публикуването на кода, Microsoft го премахва от хранилището, за да си навлече на свой ред критика.

„Ако имаше заявена още в началото политика да не се публикува PoC,metasploit и т.н., това щеше да е кофти, но си е тяхната услуга“, пише Тавис Орманди от Project Zero, хакерския колектив към Google, имащ за мисия да открива и докладва за слабости в софтуера на популярни продукти. „Вместо това те заявиха, че няма проблем и това се превърна в стандарт за индустрията да споделя код. Те самите се назначиха за арбитри да съдят това, което е „отговорно“. Колко удобно“. От Microsoft не са коментирали действието си при запитване от страна на The Register.

5 2 гласа
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари