Los críticos se enfurecen después de que Github elimina el código de explotación de las vulnerabilidades de Exchange

Github ha desatado una tormenta de fuego después de que el repositorio de código compartido propiedad de Microsoft eliminara un exploit de prueba de concepto para vulnerabilidades críticas en Microsoft Exchange que ha provocado hasta 100 000 infecciones de servidor en las últimas semanas.

ProxyLogon es el nombre que los investigadores han dado a las cuatro vulnerabilidades de Exchange que están bajo ataque y al código que las explota. Los investigadores dicen que Hafnium, un grupo de piratería patrocinado por el estado con sede en China, comenzó a explotar ProxyLogon en enero y, en unas pocas semanas, otros cinco APT, abreviatura de grupos de amenazas persistentes avanzadas, siguieron su ejemplo. Hasta la fecha, no menos de 10 APT han utilizado ProxyLogon para apuntar a servidores en todo el mundo.

Microsoft emitió parches de emergencia la semana pasada, pero hasta el martes, aproximadamente 125.000 servidores de Exchange aún tenían que instalarlo, dijo la firma de seguridad Palo Alto Networks. El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad advirtieron que ProxyLogon representa una seria amenaza para las empresas, las organizaciones sin fines de lucro y las agencias gubernamentales que siguen siendo vulnerables.

El miércoles, un investigador publicó lo que se cree que es el primer exploit de prueba de concepto (PoC) que funciona en gran medida para las vulnerabilidades. Con sede en Vietnam, el investigador también publicó una publicación en Medium que describe cómo funciona el exploit. Con algunos ajustes, los piratas informáticos tendrían la mayor parte de lo que necesitaban para lanzar sus propios RCE en la naturaleza, lenguaje de seguridad para exploits de ejecución remota de código.

La publicación de exploits de PoC para vulnerabilidades parcheadas es una práctica estándar entre los investigadores de seguridad. Les ayuda a comprender cómo funcionan los ataques para que puedan construir mejores defensas. El marco de piratería Metasploit de código abierto proporciona todas las herramientas necesarias para explotar decenas de miles de exploits parcheados y es utilizado por sombreros negros y sombreros blancos por igual.

Sin embargo, a las pocas horas de que el PoC se pusiera en marcha, Github lo eliminó. Para el jueves, algunos investigadores estaban furiosos por el derribo. Los críticos acusaron a Microsoft de censurar contenido de vital interés para la comunidad de seguridad porque perjudicaba los intereses de Microsoft. Algunos críticos se comprometieron a eliminar gran parte de su trabajo en Github en respuesta.

“Wow, estoy completamente sin palabras aquí”, Dave Kennedy, fundador de la firma de seguridad TrustedSec, escribió en Twitter. “Microsoft realmente eliminó el código PoC de Github. Esto es enorme, eliminar el código de un investigador de seguridad de GitHub contra su propio producto y que ya ha sido parcheado”.

TrustedSec es una de las innumerables empresas de seguridad que se ha visto abrumada por llamadas desesperadas de organizaciones afectadas por ProxyLogon. Muchos de los compañeros de Kennedy estuvieron de acuerdo con sus sentimientos.

«¿Hay algún beneficio en Metasploit, o literalmente todos los que lo usan son un script kiddie?» dijo Tavis Ormandy, miembro del Proyecto Cero de Google, un grupo de investigación de vulnerabilidades que publica regularmente PoC casi inmediatamente después de que un parche esté disponible. “Es lamentable que no haya forma de compartir investigaciones y herramientas con profesionales sin compartirlas también con los atacantes, pero muchas personas (como yo) creen que los beneficios superan los riesgos.

Algunos investigadores afirmaron que Github tenía un doble estándar que permitía el código PoC para las vulnerabilidades parcheadas que afectaban al software de otras organizaciones, pero las eliminaba para los productos de Microsoft. Microsoft se negó a comentar y Github no respondió a un correo electrónico en busca de comentarios.

Una opinión disidente

Marcus Hutchins, investigador de seguridad en Kryptos Logic, rechazó a esos críticos. Dijo que Github, de hecho, ha eliminado PoC para las vulnerabilidades parcheadas que afectan al software que no es de Microsoft. También defendió que Github eliminara el exploit de Exchange.

«He visto a Github eliminar código malicioso antes, y no solo código dirigido a productos de Microsoft», me dijo en un mensaje directo. «Dudo mucho que MS haya jugado algún papel en la eliminación y simplemente entró en conflicto con la política de ‘Malware activo o exploits’ de Github en el [terms of service]debido a que el exploit es extremadamente reciente y a la gran cantidad de servidores en riesgo inminente de ransomware”.

Respondiendo a Kennedy en Twitter, Hutchins adicional, «‘Ya ha sido parcheado’. Amigo, hay más de 50,000 servidores de intercambio sin parches por ahí. Lanzar una cadena RCE completa y lista para usar no es una investigación de seguridad, es imprudente y estúpido».

Una publicación de Motherboard proporcionó una declaración de Github que confirmó la suposición de Hutchins de que el PoC se eliminó porque violaba los términos de servicio de Github. La declaración decía:

Entendemos que la publicación y distribución del código de explotación de prueba de concepto tiene valor educativo y de investigación para la comunidad de seguridad, y nuestro objetivo es equilibrar ese beneficio con la seguridad del ecosistema en general. De acuerdo con nuestras Políticas de uso aceptable, deshabilitamos la esencia después de los informes de que contiene un código de prueba de concepto para una vulnerabilidad recientemente revelada que se está explotando activamente.

El PoC eliminado de Github permanece disponible en los sitios de archivo. Ars no se vincula a él ni a la publicación de Medium hasta que se parcheen más servidores.