Github apaga prova de conceito de exploit crítico no Microsoft exchange

Essas ultimas semanas foram marcadas, aconteceram ataques que comprometeram servidores de e-mail corporativos baseados no Microsoft Exchange. A trama acaba de ganhar um capítulo novo, o GitHub recentemente excluiu de seus repositórios um código de prova de conceito que ajudava pesquisadores de segurança a intender o ataque, mas essa decisão desagradou muita gente.

Quadro vulnerabilidades que ficaram conhecidas como ProxyLogon, pois permitem que o Exchange seja atacado, os hackers vêm explorando elas desde janeiro, no meio deles há grupos aparentemente ligado ao governo chinês.

Com essa situação vários departamentos de TI ficaram em alerta. Na última quarta-feira, um analista de segurança chamado Nguyen Jang disponibilizou no GitHub um código de prova de conceito que explora duas das vulnerabilidades críticas que afetam o Exchange.

É comum que especialistas em segurança criarem provas de conceito, de uma forma geral, elas ajudam outros profissionais do ramo na compreensão da dinâmica de um ataque ou da ação de um malware, por exemplo. Em outras palavras, essas ferramentas não são desenvolvidas para fins maliciosos, mas para propósitos educacionais ou informativos.

O GitHub removeu o código criado por Jang horas após a sua publicação, mas muitos analistas ficaram furiosos e acusaram a Microsoft, dona do GitHub de censura a um conteúdo importante para a comunidade de segurança.

A Microsoft já liberou a atualização que corrige essas falhas no Exchange, muitos pesquisadores entendem que, com essa atitude de remoção, a companhia estaria tentando baixar a poeira em torno desse assunto. Em reação, alguns analistas decidiram tirar do GitHub projetos mantidos por lá.

O que causou essa revolta, é o entendimento de que o GitHub permite a disponibilização de códigos de prova de conceito para vulnerabilidades corrigidas, mas removeu a ferramenta de Jang pelo fato de ela estar relacionada a um produto da Microsoft.

 

Um representante do GitHub, Motherboard a firmou que a remoção do código e explicou que a plataforma admiti que a publicação de provas conceito por entender que esse tipo de ferramenta tem valor educacional e de pesquisa, mas, por outro lado, o código em questão envolve uma vulnerabilidade que ainda está sendo explorada, o que vai contra as políticas da plataforma, então esse foi o motivo da remoção, de acordo com o representante.

A empresa de segurança Palo Alto Networks declarou que até a última terça-feira, cerca de 125 mil servidores Exchange ao redor do mundo ainda estavam vulneráveis.

Nguyen Jang parece não ter ficado tão incomodado com a decisão, e ressaltou “é ok derrubar a prova de conceito”, embora tenha ressaltado que o código não funcionava imediatamente, sendo necessário fazer alguns ajustes nele para isso.