SIKKERHET

Github får kritikk for å ha fjernet oppskrift på Exchange-sårbarhet

Proof of concept på ProxyLogon-sårbarheten ble fjernet fra Microsofts kodedelingstjeneste. Da kom beskyldningene om forskjellsbehandling.

Github fjernet onsdag kode som viste hvordan Exchange-sårbarhetene ProxyLogon fungerer.
Github fjernet onsdag kode som viste hvordan Exchange-sårbarhetene ProxyLogon fungerer. Skjermdump: Github
12. mars 2021 - 21:00

Kritikken har haglet etter at Microsofts kodedelingstjeneste Github onsdag fjernet en såkalt Proof of Concept på koden som utnytter ProxyLogon-sårbarhetene – altså en demonstrasjon av metoden som brukes til å utnytte de fire Exchange-sårbarhetene som hackere den siste tiden har utnyttet – blant annet i det siste angrepet på Stortingets epostservere.

Den kinesiske hackergruppa Hafnium skal ha begynt å utnytte sårbarhetene i januar, og til sammen skal mer enn 100.000 epostservere over hele verden ha blitt angrepet i løpet av de siste ukene.

Onsdag la en sikkerhetsforsker i Vietnam ut det som regnes som den første fungerende demonstrasjonen av koden som utnytter sårbarhetene, forteller nettstedet Ars Technica. 

Fjernet etter få timer

Sikkerhetsforskeren la også ut en oppskrift på hvordan koden fungerer. Med noen få endringer ville hackere kunne bruke oppskriften til å lage sine egne RCE-er (angrepsverktøy for fjernkjøring av kode), men det er likevel vanlig praksis blant sikkerhetsforskere å publisere slike Proof of Concepts (PoC), for å lette arbeidet med å utvikle bedre forsvar mot sårbarhetene.

Denne  PoC-en ble imidlertid fjernet fra Github etter bare noen timer, og reaksjonene lot ikke vente på seg. Utover torsdagen kokte Twitter og bransjefora med kritikk mot Github. Flere mente Microsoft sensurerte PoC-en fordi den omhandlet sårbarheter i et av Microsofts egne produkter, og anklaget selskapet for dobbeltmoral og forskjellsbehandling  fordi PoCen som ble fjernet ikke skilte seg mye fra tilsvarende PoCer på kode som utnytter sårbarheter i andres produkter.

Andre var ikke så heite under luggen, men likevel kritiske:

«Det er uheldig at det ikke finnes noen måte å dele forskning og verktøy med andre fagfolk på, uten samtidig å dele det med hackere. Men mange mener – som også jeg gjør – at fordelene oppveier farene», twitret Tavis Ormandy, som er med i Googles Project Zero, som forsker på sårbarheter, og jevnlig legger ut Proof of Concepts på oppdagede sårbarheter.

Andre igjen mente Github hadde handlet helt riktig når de fjernet koden og oppskriften.

Marcus Hutchins, en sikkerhetsforsker ved Kryptos Logic, skrev i flere tweets at han hadde flere eksempler på at Github tidligere har fjernet PoCer som omhandlet sårbarheter i produkter fra andre enn Microsoft. Han mente denne fjerningen var i tråd med Githubs brukervilkår om ondsinnet kode.

«Det er fremdeles mer enn 50.000 servere der ute som ikke har fått installert sikkerhetsoppdateringene for sårbarheten. Å legge ut en fullt brukbar RCE-kode handler ikke om sikkerhetsforskning. Det er uansvarlig og idiotisk», påpekte han i en a tweetene.

Kan fremdeles finnes

Noe senere bekreftet Github overfor teknologinettstedet Motherboard at de hadde fjernet koden fordi den brøt med Githubs retningslinjer: 

I uttalelsen heter det at: Vi er klar over at publisering og spredning av Proof of Concept-kode har forskningsmessig verdi for sikkerhetsbransjen, og vårt mål er å balansere den fordelen med et mer generelt sikkerhetshensyn. I tråd med brukervilkårene våre fjernet vi denne posten etter å ha fått beskjed om at den inneholdt Proof of Concept-kode for en nylig oppdaget sårbarhet som fremdeles blir utnyttet.

ProxyLogon-PoCen som ble fjernet fra Github er fremdeles mulig å oppdrive på nettet. De nettstedene Digi.no har sett publisere saken, som Ars Technica, har imidlertid valgt å ikke lenke til disse sidene før arbeidet med å installere sikkerhetsoppdateringer på Exchange-servere er kommet lenger.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.