Los críticos se enfurecen después de que Github elimine el código de explotación para las vulnerabilidades de Exchange

Github ha provocado una tormenta de fuego después de que el repositorio de código compartido propiedad de Microsoft eliminó un exploit de prueba de concepto para vulnerabilidades críticas en Microsoft Exchange que han provocado hasta 100.000 infecciones de servidor en las últimas semanas.

ProxyLogon es el nombre que los investigadores han dado tanto a las cuatro vulnerabilidades de Exchange bajo ataque en la naturaleza como al código que las explota. Los investigadores dicen que Hafnium, un grupo de piratería patrocinado por el estado con sede en China, comenzó a explotar ProxyLogon en enero y, en unas pocas semanas, otras cinco APT, abreviatura de grupos avanzados de amenazas persistentes, siguieron su ejemplo. Hasta la fecha, no menos de 10 APT han utilizado ProxyLogon para apuntar a servidores de todo el mundo.

Microsoft emitió parches de emergencia la semana pasada, pero hasta el martes, aproximadamente 125,000 servidores Exchange aún no lo habían instalado, la firma de seguridad Palo Alto Networks. dicho. El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad han advertido que ProxyLogon representa una seria amenaza para las empresas, organizaciones sin fines de lucro y agencias gubernamentales que siguen siendo vulnerables.

El miércoles, un investigador publicó lo que se cree que es el primer exploit de prueba de concepto (PoC) que funciona en gran medida para las vulnerabilidades. Con sede en Vietnam, el investigador también publicó una publicación en Medium que describe cómo funciona el exploit. Con algunos ajustes, los piratas informáticos tendrían la mayor parte de lo que necesitaban para lanzar sus propios RCE en estado salvaje, la seguridad habla de exploits de ejecución remota de código.

La publicación de exploits PoC para vulnerabilidades parcheadas es una práctica estándar entre los investigadores de seguridad. Les ayuda a comprender cómo funcionan los ataques para que puedan construir mejores defensas. El marco de piratería Metasploit de código abierto proporciona todas las herramientas necesarias para explotar decenas de miles de exploits parcheados y es utilizado por sombreros negros y blancos por igual.

Sin embargo, a las pocas horas de la puesta en funcionamiento de la PoC, Github la eliminó. Para el jueves, algunos investigadores estaban furiosos por el derribo. Los críticos acusaron a Microsoft de censurar contenido de vital interés para la comunidad de seguridad porque dañaba los intereses de Microsoft. Algunos críticos se comprometieron a eliminar grandes cantidades de su trabajo en Github en respuesta.

“Vaya, estoy completamente sin palabras aquí”, Dave Kennedy, fundador de la empresa de seguridad TrustedSec, escribió en Twitter. “Microsoft realmente eliminó el código PoC de Github. Esto es enorme, eliminar el código de un investigador de seguridad de GitHub contra su propio producto y que ya ha sido parcheado “.

TrustedSec es una de las innumerables empresas de seguridad que se ha visto abrumada por las llamadas desesperadas de las organizaciones afectadas por ProxyLogon. Muchos compañeros de Kennedy estuvieron de acuerdo con sus sentimientos.

“¿Hay algún beneficio para metasploit o, literalmente, todo el que lo usa es un guion para niños?” dicho Tavis Ormandy, miembro del Project Zero de Google, un grupo de investigación de vulnerabilidades que publica regularmente PoC casi inmediatamente después de que un parche está disponible. “Es lamentable que no haya forma de compartir la investigación y las herramientas con los profesionales sin compartirlas también con los atacantes, pero muchas personas (como yo) creen que los beneficios superan los riesgos.

Algunos investigadores afirmaron que Github tenía un doble estándar que permitía el código PoC para las vulnerabilidades parcheadas que afectaban al software de otras organizaciones, pero las eliminaba para los productos de Microsoft. Microsoft se negó a comentar y Github no respondió a un correo electrónico en busca de comentarios.

Una opinión disidente

Marcus Hutchins, investigador de seguridad de Kryptos Logic, rechazó a esos críticos. Dijo que Github ha eliminado las PoC para las vulnerabilidades parcheadas que afectan al software que no es de Microsoft. También defendió que Github elimine el exploit de Exchange.

“He visto a Github eliminar código malicioso antes, y no solo código dirigido a productos de Microsoft”, me dijo en un mensaje directo. “Dudo mucho que MS haya jugado algún papel en la eliminación y simplemente no cumplió con la política de ‘malware activo o exploits’ de Github en el [terms of service], debido a que el exploit es extremadamente reciente y la gran cantidad de servidores corren un riesgo inminente de ransomware “.

Respondiendo a Kennedy en Twitter, Hutchins adicional, “‘Ya ha sido parcheado’. Amigo, hay más de 50.000 servidores de intercambio sin parches. Lanzar una cadena RCE completa y lista para usar no es investigación de seguridad, es imprudencia y estupidez “.

Una publicación publicada por tarjeta madre proporcionó una declaración de Github que confirmó la suposición de Hutchins de que el PoC se eliminó porque violaba los términos de servicio de Github. La declaración decía:

Entendemos que la publicación y distribución de código de explotación de prueba de concepto tiene un valor educativo y de investigación para la comunidad de seguridad, y nuestro objetivo es equilibrar ese beneficio con mantener seguro el ecosistema en general. De acuerdo con nuestras Políticas de uso aceptable, deshabilitamos la esencia siguiente a los informes de que contiene un código de prueba de concepto para una vulnerabilidad recientemente revelada que se está explotando activamente.

El PoC eliminado de Github permanece disponible en los sitios de archivo. Ars no se vincula a él ni a la publicación de Medium hasta que se actualicen más servidores.