A administração do serviço GitHub removeu uma exploração real para as vulnerabilidades do ProxyLogon no Microsoft Exchange, embora os especialistas em segurança da informação tenham criticado duramente o GitHub.
Ontem nós escrevemos que um pesquisador independente de segurança da informação do Vietnã publicou no GitHub o primeiro exploração PoC real para um conjunto sério de Vulnerabilidades do ProxyLogon descoberto recentemente no Microsoft Exchange. Esta exploração foi confirmada por especialistas renomados, incluindo Marcus Hutchins da Kryptos Logic, Cartão Daniel da PwnDefend, e John Wettington da Condition Black.
Ao mesmo tempo, muitos especialistas observaram que a divulgação pública do exploit PoC agora é um passo extremamente duvidoso. Por exemplo, recentemente, Pretoriano foi severamente criticado por ser muito menos prejudicial; “má conduta”: seus especialistas publicaram apenas uma visão geral detalhada das vulnerabilidades do ProxyLogin, embora eles tenham se abstido de liberar sua exploração.
A questão é que pelo menos dez grupos de hackers estão explorando bugs do ProxyLogon para instalar backdoors em servidores Exchange em todo o mundo.. De acordo com várias estimativas, o número de empresas e organizações afetadas já atingiu 30,000-100,000, e seu número continua a crescer, bem como o número de atacantes.
Dada a gravidade da situação, dentro de algumas horas após a publicação da exploração, foi removido do GitHub pela administração do serviço. Devido a esta, alguns membros da comunidade de segurança da informação ficaram furiosos e imediatamente acusaram a Microsoft de censurar conteúdo de interesse vital para profissionais de segurança em todo o mundo.
Por exemplo, muitos pesquisadores dizem que o GitHub segue um padrão duplo que permite que uma empresa use explorações de PoC para corrigir vulnerabilidades que afetam software de outras empresas, mas que PoCs semelhantes para produtos da Microsoft estão sendo removidos.
Na mesma rede social, Especialista do Google Project Zero, Tavis Ormandy argumenta com Marcus Hutchins. Este último diz que não entende muito bem quais benefícios poderiam trazer a publicação de uma exploração RCE funcional para pelo menos alguém, ao que Ormandy responde:
Por sua vez, Hutchins escreve que o argumento sobre as vulnerabilidades já corrigidas é insustentável, uma vez que cerca de 50,000 servidores em todo o mundo ainda são vulneráveis.
GitHub disse aos repórteres que a exploração certamente tinha valor educacional e de pesquisa para a comunidade, mas a empresa tem que manter um equilíbrio e estar consciente da necessidade de manter o ecossistema mais amplo seguro. Portanto, de acordo com as regras do serviço, a exploração de uma vulnerabilidade descoberta recentemente, que está sendo usado ativamente para ataques, no entanto, foi removido do domínio público.
