一名越南的安全研究人员Nguyen Jang本周三(3/10)通过GitHub分享他撰写的概念性验证(Proof of Concept)攻击程序,所开采的是微软于今年3月初紧急修补的ProxyLogon漏洞,不过,几个小时之后,GitHub即将该程序下架,而引起安全社群的不平。
ProxyLogon其实是由4个不同的Exchange Server安全漏洞所组成,Jang所打造的概念性验证程序则是串联了其中的CVE-2021-26855与CVE-2021-27065漏洞,虽然该PoC程序无法直接用来攻击,但只要稍加修改就能上阵。
GitHub向Motherboard表示,该平台了解PoC攻击程序的公开及传播对安全社群而言具有教育及研究价值,而该平台的目标则是兼顾该价值与整个生态系统统的安全,且其政策禁止用户传播正被积极开采之漏洞的攻击程序。
Jang则向Motherboard透露,他对于自己的PoC攻击程序被下架没有什么意见,但它是由真正的攻击程序改写的,将可协助那些正在分析相关漏洞的研究人员。
尽管Jang自己觉得无所谓,但安全社群却起了不平之鸣。安全顾问公司TrustedSec创办人Dave Kennedy即说,微软必须出面解释为何从GitHub上移除了针对自家产品的PoC攻击程序,而且该程序所开采的漏洞已经被修补,GitHub则应厘清哪些PoC可以存在于该平台,而又有哪些不可以,是否只有针对微软产品的不行?Google安全专家Tavis Ormandy也出面质疑GitHub采用双重标准,因为它并没有禁止所有的PoC,而是根据需求擅自仲裁。
这是因为GitHub存在着其它各种安全漏洞的PoC,却都安然无恙。
事实上,微软是在意识到ProxyLogon漏洞遭到中国黑客Hafnium开采之后,才修补了相关漏洞,而黑客早在微软修补前的两个多月就展开攻击,且根据安全企业ESET的分析,至少已有10个黑客团队企图开采ProxyLogon漏洞,以于受害者的Exchange Server上植入恶意程序。