水曜日、セキュリティ研究者のグエン・ジャン氏が、今月初めに明らかになった Microsoft Exchange の脆弱性を悪用する概念実証のエクスプロイトを GitHub に投稿した直後、Microsoft が所有する GitHub は、セキュリティ研究者の警戒感の中、コードを削除した。
実際に機能するエクスプロイトには程遠いPoCコードは、169行のPythonファイルで構成されていました。このコードは、攻撃者が認証を回避して管理者権限で操作することを可能にするMicrosoft Exchange Serverの脆弱性CVE-2021-26855を悪用していました。
「ProxyLogon」と呼ばれるこのバグは、マイクロソフトが2021年3月3日にアウトオブバンドリリースでパッチを当てた4つのMicrosoft Exchangeゼロデイ脆弱性のうちの1つだ。これは、先週米国政府が警告を発した「ハフニウム」攻撃の一部である。
チャン氏はベトナム語で自身の研究成果を投稿し、GitHub上のコードへのリンクを貼った。しかし数時間後、GitHub上のコードへのリンクは機能しなくなった。
えーと、二重基準の人はいますか?
PoCコードは競合のGitLabなど他の場所でホストされているコードリポジトリで引き続きアクセス可能だが、セキュリティ研究者はGitHubの一貫性のない標準とMicrosoftの利己的な干渉をすぐに非難した。
「もし最初からPoCやメタスプロイトなどを禁止するポリシーだったら、それはひどいことになるでしょうが、それは彼らのサービスですから」と、Googleのセキュリティ研究者であるタヴィス・オーマンディ氏はTwitterで述べた。「彼らはそうせずにOKを出した。そして今や、セキュリティ専門家の間でコード共有が標準となり、何が『責任ある』かの裁定者を自ら選んだのだ。なんと都合のいい話だろう。」
3月のIDEにご用心:Exchange Serverの慌ただしいアップデート後にMicrosoftの最新の月例修正プログラムがリリース
続きを読む
この記事が提出された時点では、同じ CVE の他の PoC コードはまだ GitHub で入手可能でした。
「セキュリティ研究者のコードをGitHubから削除し、自社製品に悪用し、しかもすでにパッチが適用されているというのは、重大なことだ」とTrustedSecの創設者デイブ・ケネディ氏はツイッターで非難した。
しかし、コード削除について議論している他の人々が主張しているように、パッチは発行されたものの、必ずしも Exchange Server を実行しているすべての企業で適用されているわけではない。
言い換えれば、いまだに脆弱で活発な攻撃を受けているシステムがいくつもあることを考えると、それらのシステムを停止させるのに使用できるエクスプロイト コードの拡散を制限しようとしている Microsoft を本当に非難できるでしょうか?
しかしケネディ氏は、PoC が完全に機能しておらず、リモート コード実行機能が含まれていないため、これはあまり関係ないと主張しています。
GitHub の規定ポリシーでは、「アクティブなマルウェアやエクスプロイト」を含む、またはインストールするリポジトリは禁止されています。
GitHubはThe Registerのコメント要請にすぐには応じなかったが、JangのPoCコードは最近公開され、現在積極的に悪用されている脆弱性に関係するものだと述べてViceに対して自社の行動を弁明した。
マイクロソフトもコメント要請に応じなかった。®
