Rel na wissen Exchange-exploit door GitHub
GitHub heeft eind vorige week een 'proof-of-concept' (PoC) - ook wel een 'exploit' genaamd - verwijderd waarmee de recent gepubliceerde kwetsbaarheid van Exchange-servers kan worden misbruikt. Critici vinden dat GitHub - wellicht onder druk van Microsoft - onderzoekers de mogelijkheid ontneemt om veiliger producten te ontwikkelen.
© GitHub
GitHub
Het is gebruikelijk dat er PoC's verschijnen na de ontdekking van een kwetsbaarheid in software en de producent van die software een billijke tijd krijgt om een patch uit te brengen. Die PoC's helpen andere onderzoekers beter te begrijpen hoe aanvallers te werk gaan. Dat leidt uiteindelijk weer tot betere software.
In het geval van ProxyLogon - de recent gevonden kwetsbaarheid in Exchange-servers - heeft Microsoft al enige tijd een patch beschikbaar. Toch blijken nog heel veel beheerders hun Exchange-servers niet te hebben beschermd tegen aanvallen. Daar wordt nu volop gebruik van gemaakt. Aanvankelijk was het de vermoedelijk door de Chinese overheid gesteunde hackersgroep Hafnium die in januari begon met het exploiteren van de kwetsbaarheid. Daarna volgden er meer. Inmiddels staat de teller van door verschillende IT-beveiligers ontdekte advanced persistent threat groups (APT) op 10.
Dubbele moraal of verstandig?
Vorige week zette een Vietnamese IT-beveiligingsonderzoeker een goedwerkende PoC op GitHub. De organisatie - een dochterbedrijf van Microsoft - haalde deze echter binnen enkele uren weer weg. Dat leidde tot een storm van kritiek. Hoewel algemeen erkend wordt dat het publiceren van zo'n PoC zowel goed- als kwaadwillenden helpt, haalt Ars Technica verschillende IT-beveiligers aan die beweren dat de voordelen opwegen tegen de nadelen. Sommigen verwijten GitHub een dubbele moraal als het gaat om Microsoft-producten, omdat exploits van andere producenten wel online blijven. "Jammer genoeg is er geen andere manier om onderzoek en tools te delen met professionals zonder ze ook te delen met aanvallers", zegt ook Travis Ormandy, een bekend lid van IT-beveiligingsteam Project Zero van Google.
Maar er zijn ook anderen beveiligingsonderzoekers, zoals Marcus Hutchins van Kryptos Logic, die het besluit van GitHub toejuichen. "Er zijn nog meer dan 50.000 onbeschermde Exchange-servers. Nu een kant-en-klare RCE [remote code execution exploits, red] uitbrengen is geen beveiligingsonderzoek, dat is roekeloos en dom."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee