GitHub删除了Exploit代码以进行交换漏洞的批评

Microsoft拥有的代码共享存储库在Microsoft Exchange中删除了概念证明漏洞后，GitHub已在Microsoft Exchange中导致多达100,000个服务器感染的验证泄密漏洞。

Proxylogon是研究人员在野外的攻击中给予的四个交换漏洞的名称和利用它们的代码。研究人员称，汉菲是一家位于中国的国家赞助的黑客集团，在1月开始开发Proxylogon，在几周之内，其他五个适用于先进的持久威胁群体衣服。迄今为止，不少于10个APTS将Proxylogon用于世界各地的目标服务器。

上周微软颁发了紧急补丁，但截至周二，估计的125,000台交换机尚未安装它，安全公司Palo Alto Networks表示。联邦调查局和网络安全和基础设施安全局警告说，Proxylogon对仍然脆弱的企业，非营利组织和政府机构构成严重威胁。周三，一名研究人员发表了据信是第一个主要工作的概念证明（POC）利用漏洞。基于越南，研究人员还在媒体上发表了一篇文章，描述了利用如何工作。通过一些调整，黑客将拥有最多的是启动自己的野外RCE的大部分，安全性发言用于远程代码执行漏洞。

发布PoC用于修补漏洞的漏洞利用是安全研究人员的标准练习。它有助于他们了解攻击如何工作，以便他们可以建立更好的防御。开源Metasploit黑客框架提供了利用数万个修补的爆炸所需的所有工具，并被黑帽子和白色帽子使用。

然而，在PoC的几个小时内，GitHub删除了它。到星期四，一些研究人员对被抛弃的人感到沮丧。批评者指责微软对安全社区的重要兴趣的审查内容，因为它伤害了微软的兴趣。一些批评者承诺在响应中删除他们对GitHub上的大型工作。

“哇，我在这里完全无语，”安全公司Trustedsec的创始人Dave Kennedy在Twitter上写道。 “微软确实删除了GitHub的PoC代码。这是巨大的，删除安全研究员＆＃39; S代码从Github对他们自己的产品，已经修补了。“

哇，我在这里完全无言而喻。 Microsoft实际确实删除了GitHub的PoC代码。这是巨大的，从Github上删除了一个安全研究人员对自己的产品，并且已经被修补。这个不好。 https://t.co/yqo7sebsu.

- Dave Kennedy（@Hackingdave）3月11日，2021年3月11日

TrustedSec是由Perxylogon命中的组织的绝望电话不堪重负的无数安全公司之一。肯尼迪的同伴同意了他的情绪。

“对Metasploit有福利，或者是每个人使用它的剧本kiddie？” Tavis Ormandy是谷歌项目零的成员，一个漏洞研究小组，定期在修补程序可用后立即发布PoCs。 “不幸的是，没有办法与专业人士分享研究和工具，而不与攻击者分享他们，但许多人（像我一样）认为益处超过了风险。

Metasploit有福利，还是用它来剧本的每个人都是脚本的？它不幸的是，没有办法与专业人士分享研究和工具，没有与攻击者分享，但许多人（如我）相信益处超过了风险。

- Tavis Ormandy（@Taviso）3月11日，2021年3月11日

一些研究人员声称Github具有双重标准，可允许PoC代码用于影响其他组织软件的修补漏洞，但为Microsoft产品删除了它们。微软拒绝发表评论，Github没有回复寻求评论的电子邮件。

Marcus Hutchins是Kryptos Logic的安全研究员，推回这些批评者。他说Github确实删除了影响非Microsoft软件的修补漏洞的PoC。他还为GitHub删除了Exchange漏洞进行了案例。

“我见过github以前删除恶意代码，而不仅仅是在微软产品上定位的代码，”他在直接留言中告诉我。 “我常怀疑MS在删除中发挥了任何作用，它只是在[服务条款]中只是在[服务条款]中的原因，因为利用是最近和大量的服务器，这是迫在眉睫的风险赎金软件。“

回应肯尼迪在Twitter上，哈钦斯添加，＆＃34;＆＃39;已经修补过。＆＃39;伙计，那里有超过50,000名未被划分的交换服务器。发布完整准备好RCE链不是安全研究，这是鲁莽和愚蠢的。“

＆＃34;已经被修补＆＃34;伙计，那里有50,000多个未被淘汰的交换服务器。释放完整准备好的RCE链不是安全研究，它＆＃39; S鲁莽和愚蠢。

- Malwaretech（@MalwaretechBlog）2021年3月11日

主板发布的帖子提供了从Github发表的声明，确认了Hutchins'猜测PoC被删除，因为它违反了GitHub＆＃39;服务条款。声明阅读：

我们了解，概念剥削守则证明的出版和分配对安全社区具有教育和研究价值，我们的目标是平衡这些效益，使更广泛的生态系统安全。根据我们可接受的使用策略，我们禁用了以下报告的GIST，即它包含最近披露漏洞的概念代码证明，该漏洞正在积极利用。

从GitHub中删除的POC仍然可在归档站点上提供。在修补更多服务器之前，ARS并未链接到IT或中间帖子。