GitHub заблокировал репозиторий с демонстрацией уязвимости ProxyLogon в Microsoft Exchange

a74inik5vc0q1pin-jnp2dw2kjy.png

Согласно информации Record, 10 марта 2021 года GitHub заблокировал репозиторий вьетнамского исследователя Нгуен Джанг (Nguyen Jang) с рабочей демонстрацией использования цепочки уязвимостей ProxyLogon (CVE-2021–26855, CVE-2021–26857, CVE-2021–26858 и CVE-2021–27065) в Microsoft Exchange. Блокировка была сделана почти сразу после публикации контента в сервисе.

Эксперт команды кибербезопасности MalwareTech подтвердил факт появления доступного Hafnium Exchange RCE Exploit и даже запустил эксплойт после некоторых доработок на своем стенде.
За последние несколько дней на GitHub было опубликовано несколько proof-of-concept (PoC) эксплойтов для ProxyLogon, однако, большинство из них были попытками троллинга или не имели всех необходимых возможностей для полноценного взлома — с их помощью нельзя было добиться от сервера Microsoft Exchange удаленного выполнения произвольного кода.

Первый рабочий эксплойт был опубликован на GitHub после того, как ИБ-компания Praetorian опубликовала подробный обзор уязвимостей цепочки ProxyLogin, но воздержалась от публикации работающего PoC.

По данным Record, многие ИБ-исследователи опасаются, что опубликованный прототип эксплойта может ускорить разработку работающего PoC. Это может привести к резкому расширению фронта текущей атаки, так как к ней присоединятся еще больше злоумышленников. Сейчас не менее 10 различных хакерских групп со всего мира используют уязвимость ProxyLogon.

Примечательно, что быстрая блокировка репозитория не удивила экспертов, так как разработчик Нгуен Джанг опубликовал код, который можно было использовать для взлома клиентов Microsoft, используя ошибки в ПО Microsoft, на платформе с открытым исходным кодом, принадлежащей Microsoft.

Представитель GitHub подтвердил, что компания удалила код из-за потенциального ущерба, который он мог нанести.

GitHub уточнил, что публикация и распространение кода, подтверждающего концептуальный эксплойт, хоть и имеет образовательную и исследовательскую ценность для сообщества специалистов по безопасности, но противоречит цели сервиса — балансировать это преимущество с обеспечением безопасности для более широкой экосистемы. Платформа уточнила, что репозиторий Джанг был заблокирован в соответствии политикой сервиса, которая не допускает распространение даже концептуального кода для недавно обнаруженной уязвимости, которая сейчас активно используется.

Джанг пояснил, что согласен с правилами GitHub и это нормально, что сервис удалил его код, который был написан на основе настоящего PoC, к которому в любом случае многие ИБ-исследователи все равно получат доступ. А причина, по которой он опубликовал эксплойт на GitHub — желание предупредить всех разработчиков о критичности ситуации и дать им последний шанс исправить свои почтовые сервера, прежде чем они потеряют данные.

Однако, многие разработчики после удаления репозитория Джанг с рабочим эксплойтом обвинили Microsoft в цензуре контента, представляющего жизненно важный интерес для сообщества специалистов по безопасности, поскольку это вредит интересам Microsoft.

Основатель компании TrustedSec Дэйв Кеннеди написал в Twitter, что в шоке от такого решения Microsoft и Github.

Участник исследовательской группы Google Project Zero Тэвис Орманди заявил, что невозможно поделиться исследованиями и инструментами с профессионалами, не поделившись ими с злоумышленниками, но многие ИБ-специалисты считают, что преимущества перевешивают риски.

Некоторые ИБ-исследователи пояснили Ars Technica, что Github использует двойные стандарты. Например, сервис разрешает публикацию кода с PoC для исправлений уязвимостей, влияющих на программное обеспечение других организаций, но платформа оперативно удаляет любой такой код, затрагивающий безопасность продуктов Microsoft.

2 марта Microsoft сообщила о массовом использовании 0-day уязвимостей на почтовых серверах Microsoft Exchange Server с целью кражи важных данных и получения удаленного контроля. Компания оперативно опубликовала против них необходимые патчи. На первом этапе взлома злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации 0-day уязвимостей. Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки и кража корпоративных данных.

6 марта 2021 года Microsoft обновила утилиту Safety Scanner. Последняя версия автономного инструмента безопасности Microsoft Support Emergency Response Tool (MSERT) может обнаруживать зловредные веб-оболочки (средства удаленного доступа, Web Shell), установленные злоумышленниками внутри почтовых серверов компаний в рамках продолжающейся атаки на непропатченные Exchange Server 2013/2016/2019) по всему миру.

7 марта Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon.

Bloomberg сообщило, что из-за серьезных уязвимостех в программном обеспечении Microsoft для почтовых серверов может возникнуть глобальный IT-кризис в области безопасности, так как хакеры продолжают заражать сервера по всему миру, а Microsoft не может защитить своих клиентов. Тем более, что в настоящее время только 10% от работающих систем пропатчено до последних версий

В октябре 2018 года Microsoft купила GitHub за $7,5 млрд. В настоящее время GitHub продолжает открытую политику, направленную на поддержку всех разработчиков, вне зависимости от используемой платформы или языка программирования. Сейчас сервисом пользуются 60 млн разработчиков.

© Habrahabr.ru