情境示意圖,Photo by T. Kaiser on Unsplash

一名越南的安全研究人員Nguyen Jang本周三(3/10)透過GitHub分享他撰寫的概念性驗證(Proof of Concept)攻擊程式,所開採的是微軟於今年3月初緊急修補的ProxyLogon漏洞,不過,幾個小時之後,GitHub即將該程式下架,而引起資安社群的不平。

ProxyLogon其實是由4個不同的Exchange Server安全漏洞所組成,Jang所打造的概念性驗證程式則是串連了當中的CVE-2021-26855與CVE-2021-27065漏洞,雖然該PoC程式無法直接用來攻擊,但只要稍加修改就能上陣。

GitHub向Motherboard表示,該平臺了解PoC攻擊程式的公開及散布對資安社群而言具有教育及研究價值,而該平臺的目標則是兼顧此一價值與整個生態系統的安全,且其政策禁止用戶散布正被積極開採之漏洞的攻擊程式。

Jang則向Motherboard透露,他對於自己的PoC攻擊程式被下架沒有什麼意見,但它是由真正的攻擊程式改寫的,將可協助那些正在分析相關漏洞的研究人員。

儘管Jang自己覺得無所謂,但資安社群卻起了不平之鳴。資安顧問公司TrustedSec創辦人Dave Kennedy即說,微軟必須出面解釋為何從GitHub上移除了針對自家產品的PoC攻擊程式,而且該程式所開採的漏洞已經被修補,GitHub則應釐清哪些PoC可以存在於該平臺,而又有哪些不可以,是否只有針對微軟產品的不行?Google安全專家Tavis Ormandy也出面質疑GitHub採用雙重標準,因為它並沒有禁止所有的PoC,而是根據需求擅自仲裁。

這是因為GitHub存在著其它各種安全漏洞的PoC,卻都安然無恙。

事實上,微軟是在意識到ProxyLogon漏洞遭到中國駭客Hafnium開採之後,才修補了相關漏洞,而駭客早在微軟修補前的兩個多月就展開攻擊,且根據資安業者ESET的分析,至少已有10個駭客團隊企圖開採ProxyLogon漏洞,以於受害者的Exchange Server上植入惡意程式。


熱門新聞

Advertisement