Los críticos se quejan después de que Github eliminara el código de explotación para las vulnerabilidades de Exchange


Los críticos se quejan después de que Github eliminara el código de explotación para las vulnerabilidades de Exchange

Github

Github provocó una tormenta de fuego después de que el propio repositorio de código compartido de Microsoft eliminó un exploit de prueba de concepto para vulnerabilidades críticas en Microsoft Exchange que resultó en hasta 100,000 infecciones de servidor en las últimas semanas.

ProxyLogon es el nombre que los investigadores han dado tanto a las cuatro vulnerabilidades de Exchange atacadas en la naturaleza como al código que las explotó. Los investigadores dicen que Hafnium, un grupo de piratería patrocinado por el gobierno con sede en China, comenzó a usar ProxyLogon en enero. Cinco APT más siguieron en unas pocas semanas, abreviatura de Grupos de amenazas persistentes avanzados. Hasta ahora, no menos de 10 APT han utilizado ProxyLogon para direccionar servidores en todo el mundo.

Microsoft lanzó parches de emergencia la semana pasada, pero se estima que 125.000 servidores Exchange tuvieron que instalarlos el martes, dijo la firma de seguridad Palo Alto Networks. El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad han advertido que ProxyLogon representa una seria amenaza para las empresas, organizaciones sin fines de lucro y agencias gubernamentales que siguen en riesgo.

El miércoles, un investigador publicó lo que se cree que es el primer exploit de prueba de concepto (PoC) que funciona en gran medida para los agujeros de seguridad. El investigador con sede en Vietnam también publicó una publicación en Medium que describe cómo funciona el exploit. Con algunos cambios, los piratas informáticos tendrían la mayor parte de lo que necesitaban para iniciar sus propias RCE. La seguridad habla a favor de las vulnerabilidades en la ejecución remota de código.

La publicación de exploits PoC para vulnerabilidades parcheadas es una práctica estándar entre los investigadores de seguridad. Les ayuda a comprender cómo están funcionando los ataques para que puedan construir mejores defensas. El marco de piratería de código abierto Metasploit proporciona todas las herramientas necesarias para aprovechar decenas de miles de exploits parcheados y es utilizado por sombreros blancos y negros por igual.

Sin embargo, a las pocas horas de la puesta en marcha de la PoC, Github la eliminó. El jueves, algunos investigadores estaban enojados por el cierre. Los críticos acusaron a Microsoft de censurar contenido crítico para la comunidad de seguridad, ya que daña los intereses de Microsoft. Algunos revisores prometieron eliminar grandes partes de su trabajo en Github en respuesta.

«Vaya, estoy completamente sin palabras», dijo Dave Kennedy, fundador de la empresa de seguridad TrustedSec. escribió en Twitter. “Microsoft realmente eliminó el código PoC de Github. Eso es enorme y elimina el código de un investigador de seguridad de GitHub contra su propio producto que ya ha sido parcheado. «

TrustedSec es una de las innumerables empresas de seguridad que se han visto abrumadas por llamadas desesperadas de organizaciones afectadas por ProxyLogon. Muchos de los colegas de Kennedy estuvieron de acuerdo con sus puntos de vista.

«¿Hay alguna ventaja en Metasploit, o literalmente cualquiera que lo use es un guion para niños?» dicho Tavis Ormandy, miembro del Project Zero de Google, un grupo de investigación de vulnerabilidades que lanza PoC con regularidad casi inmediatamente después de que un parche está disponible. “Es lamentable que no haya forma de compartir la investigación y las herramientas con los profesionales sin compartirlas con los atacantes, pero muchas personas (como yo) creen que los beneficios superan los riesgos.

Algunos investigadores afirmaron que Github tenía un doble estándar que permitía el código PoC para las vulnerabilidades parcheadas que afectaban al software de otras organizaciones, pero las eliminaba para los productos de Microsoft. Microsoft se negó a comentar y Github no respondió a un correo electrónico en busca de un comentario.

Una opinion diferente

Marcus Hutchins, investigador de seguridad de Kryptos Logic, rechazó a estos críticos. Dijo que Github en realidad eliminó las PoC para las vulnerabilidades parcheadas que afectan al software que no es de Microsoft. También abogó por que Github elimine el exploit de Exchange.

«He visto a Github eliminar código malicioso antes, y no solo código dirigido a productos de Microsoft», me dijo en un mensaje directo. “Dudo mucho que MS haya tenido un papel en la eliminación, y simplemente violó la política de ‘Malware activo o exploits’ de Github en la UE [terms of service]debido al exploit extremadamente joven y la gran cantidad de servidores donde el riesgo de ransomware es inminente. «

Responder a Kennedy en Twitter, Hutchins adicional, «‘Ya ha sido parcheado’. Amigo, hay más de 50.000 servidores Exchange sin parches. Publicar una cadena RCE completa no es una investigación de seguridad, es una imprudencia y una estupidez «.

Una publicación publicada por Motherboard contenía una declaración de Github que confirmaba la sospecha de Hutchins de que el PoC fue eliminado por violar los Términos de servicio de Github. La declaración decía:

Entendemos que la publicación y difusión de códigos de explotación de prueba de concepto tiene un valor educativo y de investigación para la comunidad de seguridad. Nuestro objetivo es equilibrar estos beneficios con la seguridad de un ecosistema más amplio. De acuerdo con nuestra Política de uso aceptable, deshabilitamos lo esencial después de que se informó que contenía un código de prueba de concepto para una vulnerabilidad recientemente revelada que se está explotando activamente.

El PoC eliminado de Github permanece disponible en las páginas de archivo. Ars solo se vincula a él cuando se aplican parches a otros servidores.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *