Github已经点燃了风暴后,微软所有代码共享库删除关键漏洞的概念验证利用Microsoft Exchange导致多达100000服务器感染在最近几周。
ProxyLogon是研究者的名字给了两下四个交易所漏洞攻击在野外和利用他们的代码。铪研究人员说,在中国一个国家支持的黑客组织,开始利用ProxyLogon今年1月,在几周内,其他5个APTs-short先进的持续威胁协会也跟着效仿。到目前为止,不少于十了ProxyLogon使用世界各地的目标服务器。
微软发布紧急补丁上周,但截至周二,估计有125000交换服务器尚未安装,安全公司帕洛阿尔托网络说。联邦调查局和网络安全基础设施安全机构警告称,ProxyLogon构成严重威胁企业,非营利组织和政府机构,仍然脆弱。研究员周三发表的工作很大程度上被认为是第一个概念验证(PoC)利用的漏洞。位于越南,研究者还发表了一篇文章中描述利用是如何工作的。有一些调整,黑客将他们需要的大部分推出自己的野生rc,安全代表远程代码执行漏洞。
出版PoC利用修补漏洞是一个标准的安全研究人员之间的练习。这能帮助他们了解攻击,这样他们就可以建立更好的防御工作。开源Metasploit黑客框架提供了所需的所有工具利用成千上万的打补丁的利用和使用黑帽和白色的帽子。
在数小时内PoC的生活,然而,Github移除它。周四,一些研究人员对拆卸气得七窍生烟。批评人士指责微软切身利益的内容审查安全社区,因为它伤害了微软的利益。一些批评人士承诺消除大型团体在Github的回应他们的工作。
“哇,我完全说不出话来,”戴夫·肯尼迪,安全公司TrustedSec创始人写了在Twitter上。“微软真的删除从Github PoC代码。这是巨大的,删除安全研究人员对自己的产品的代码从GitHub,已修补。”
哇,我完全说不出话来。
——大卫·肯尼迪(@HackingDave)2021年3月11日,
微软真的删除从Github PoC代码。
这是巨大的,从GitHub删除安全研究人员代码对自己的产品和已修补。
这是不好的。https://t.co/yqO7sebCSU
TrustedSec无数安全公司之一,一直被绝望的组织受到ProxyLogon打来的。大量的肯尼迪的同行同意他的观点。
“metasploit有好处,或者是人使用脚本kiddy吗?”说Tavis听完,谷歌Project Zero的一员,一个漏洞研究小组,定期发布poc补丁可用后几乎立即。“不幸的是,没有办法与专业人士分享研究和工具也没有与攻击者分享他们,但许多人(比如我)认为,利益大于风险。
metasploit有好处,或者是人使用脚本kiddy吗?很不幸,没有办法分享研究和工具也有专业人员没有与攻击者分享他们,但许多人(比如我)认为,利益大于风险。
-偶极听完(@taviso)2021年3月11日,
一些研究人员声称Github双重标准,允许PoC修补漏洞的代码影响其他组织对微软产品的软件但删除它们。微软拒绝对此置评,Github没有回复寻求置评的电子邮件。
不同意的观点
马库斯哈钦斯,一个安全研究员Kryptos逻辑,推迟这些批评。他说Github确实删除poc修补漏洞影响非微软软件。他还做了一个Github移除交换利用。
“我之前看过Github删除恶意代码,而不只是针对微软产品的代码,“他告诉我直接消息。“我强烈怀疑女士扮演任何角色删除,它只是与Github的“主动恶意软件或利用”政策(服务条款),由于利用极为最近和大量的服务器即将ransomware的风险。”
对肯尼迪在推特上,哈钦斯添加”,“已经被修补。“老兄,有超过50000个应用补丁的交换服务器。释放全部准备好远端控制设备链不是安全研究,这是鲁莽和愚蠢。”
“已经修补”。老兄,有超过50000个应用补丁的交换服务器。释放全部准备好远端控制设备链不是安全研究,鲁莽和愚蠢。
- MalwareTech (@MalwareTechBlog)2021年3月11日,
一篇发表的主板从Github提供一份声明,证实哈钦斯的猜测PoC已经被抹去,因为它违反了Github的服务条款。声明中写道:
我们明白的出版和销售概念证明利用代码安全社区、教育和研究价值,我们的目标是平衡有利于保持整个生态系统的安全。依照我们的可接受的使用政策,我们禁用它所包含的要点。此前有报道称最近披露的概念验证代码漏洞,正在积极利用。
PoC从Github仍可在档案网站。Ars不是链接到它或媒介发布,直到更多的服务器打补丁。
141年读者评论
我想象它将支持利用修补后的组织建议的文章。
它是不过,一个难题。你站在“猫的袋子,这是积极的利用让人们发布他们的发现”,你认为发帖说发现可能导致更多的妥协服务器,因此微软应该关闭它现在还是无法下定决心吧?
我也想知道微软的决定是关注的是“如果一些大公司违反了,因为我们离开它在GitHub上,他们可以起诉我们只有上帝知道多少。即使我们赢了,这将是大量的负面新闻和吨律师以小时计费。把它下来,现在就做!”
最后一次编辑副赶大车的人在2021年3月11日,星期四下午5:15
是的,有将POC的好处,但现在还不是时候。应用补丁的目标太大。交换是一个巨大的野兽,一些企业可能列为一个重要或关键业务服务。不是每一个客户都是在位置交换在一个高度可用的设置和运行在这些情况下,一些停机时间,有限的可能,将是必需的。这将需要进一步规划、沟通等等....
我们是什么,一个星期在补丁发布。会阻碍这个POC的另一个星期左右有伤害吗?
最后一次编辑Bmadd在2021年3月11日,星期四习用点
是我,或者很多安全研究人员他们爱慕虚荣吗?
有自我表达的极限。
是我,或者很多安全研究人员他们爱慕虚荣吗?
我想认为安全研究人员更成熟比跑步机的第一!“海报发表评论。
sametime,我想大多数IT管理员比允许WannaCry更精明的发生,所以谁知道....
最后一次编辑mbedford84在2021年3月11日,星期四下午5:30
我们不生活在一个即时修补利用发现的每一个的世界。为什么我们假装?甚至做安全研究人员阅读每一个利用发表?
为什么不让周围的补丁有时间洗生态系统?
最严重的罪魁祸首是谷歌。我们尽快发布别人利用!哦,安卓系统吗?对你只有最初的操作系统版本,然后你是patchless混蛋你的电话的生活。除非你买一个昂贵的Android手机。在这种情况下,你应该买iPhone,而不是因为现在得到补丁6个月后。
它的那么愚蠢。
我想象它将支持利用修补后的组织建议的文章。
我的意思是,我们想象,恶意行为实际上是依赖于开源概念验证代码?
也许不是最好的最优秀的,但为什么让它广泛用于任何犯罪利用这么快?
我想象它将支持利用修补后的组织建议的文章。
我的意思是,我们想象,恶意行为实际上是依赖于开源概念验证代码?
不但是如果熬夜你可以打赌,至少一些新的恶意的演员。
编辑:Bmadd说得更好。
最后一次编辑andrewb610在2021年3月11日,星期四下午5:18要
我们都知道垃圾人修补和更新任何…一些中央服务器一样重要,事实上,有超过50000的修改,还为时过早释放PoC代码…
如果他只是等待几周左右,直到更多的服务器已经修补,我是反对Github。
是我,或者很多安全研究人员他们爱慕虚荣吗?
我想认为安全研究人员更成熟比跑步机的第一!“海报发表评论。
在相同的,我认为大多数IT管理员更比允许wannacry savvvy发生,所以谁知道....
不正确的。他们发布了“第一”Github。
是我,或者很多安全研究人员他们爱慕虚荣吗?
我想认为安全研究人员更成熟比跑步机的第一!“海报发表评论。
在相同的,我认为大多数IT管理员更比允许wannacry savvvy发生,所以谁知道....
不正确的。他们发布了“第一”Github。
美妙的....要使用其中越来越多的很难最近感到惊讶
最后一次编辑mbedford84在2021年3月11日,星期四下午5点
它是不过,一个难题。你站在“猫的袋子,这是积极的利用让人们发布他们的发现”,你认为发帖说发现可能导致更多的妥协服务器,因此微软应该关闭它现在还是无法下定决心吧?
我也想知道微软的决定是关注的是“如果一些大公司违反了,因为我们离开它在GitHub上,他们可以起诉我们只有上帝知道多少。即使我们赢了,这将是大量的负面新闻和吨律师以小时计费。把它下来,现在就做!”
我很高兴你完全重新思考这篇文章的原始版本。
我想象它将支持利用修补后的组织建议的文章。
我的意思是,我们想象,恶意行为实际上是依赖于开源概念验证代码?
它降低了准入的门槛。我见过我的一些很糟糕的人,想毁了管理员的一天拉屎和咯咯的笑声。这些类型的人不太可能开发利用自己,但更乐意使用别人的工具。
我们称之为“脚本小子”
最后一次编辑Jamjen831在2021年3月11日,星期四25点
1。一些的人最有可能使用这样的事情在一个合法的攻击已经这样做,如上所述。这可能意味着利用已经知道了一段时间。谁知道一直被剥削多长时间?
2。不管affectable服务器的数量,那只猫非常的袋子。如果你只是做一个搜索的脆弱性的名字,你可以找到一些很有趣的和详细的信息,包括微软的补丁,以逆向工程确定的确切性质。
3所示。PoC GitHub上是信息的不只是想利用这个漏洞(不管出于什么动机,包括测试对这类安全产品的开发),还为那些寻求确保其他程序不怀有同样的错误,对于那些写代码在这个舞台上,尽量避免过去的罪过。
4所示。补丁服务器!
编辑添加:我认为这是负责任的等待一个适当的披露的时间利用的细节,但我的问题,如果这将是一个明显的区别在这个特定的实例。
最后一次编辑tk。在2021年3月11日,星期四31点
通过模糊的安全是不够的,但它确实工作减缓犯罪的便利。metasploit仍将有价值的信息在一个月。
是我,或者很多安全研究人员他们爱慕虚荣吗?
我想知道他们是否会如此渴望利用继续发表如果涉及自己的资源或财产,他们无法获得足够快吗?我敢打赌,会有各种各样的愤怒和绝望。
我想象它将支持利用修补后的组织建议的文章。
我的意思是,我们想象,恶意行为实际上是依赖于开源概念验证代码?
你不应该把所有的网络攻击到一个大水桶。
atp是由国家赞助,是的不太可能看Github开发利用。只是释放atp的补丁就足够了反向工程和开发自己的功绩。
你还有网络罪犯都不太精致,绝对会受益于工作PoC和利用它。
最后你也会有可能使用的脚本kiddy这样只是为了炫耀他们的朋友在上学。
的安全研究人员了解这一切,把剩下的利用有100000年代应用补丁的目标仅仅是不负责任的。
我想象它将支持利用修补后的组织建议的文章。
我的意思是,我们想象,恶意行为实际上是依赖于开源概念验证代码?
它降低了准入的门槛。我见过我的一些很糟糕的人,想毁了管理员的一天拉屎和咯咯的笑声。这些类型的人不太可能开发利用自己,但更乐意使用别人的工具。
我们称之为“脚本小子”
我想我的问题实际上降低了多少条。“学前脚本”与否,在野外发现利用不是一个困难的命题如果你倾向。这在野外利用绝对是前概念致力于github的代码。
这是一个疯狂的类比,但是,炸弹让不是那么努力如果你倾向。但是我们生活在一个社会,指导如何制造炸弹材料不是你希望侥幸在知名网站上发布。
我认为只是不负责任(PoC释放,炸弹制造材料,只是清楚! !;-))
我也相信给潜在的受害者的人所需的时间修补他们的狗屎分发代码之前任何和每一个黑客在互联网上使用。
总不可能控制它,但它可能买一点时间如果是稍微难找。
我想他们可能是Nuget包:-)
我确信它将需要数月才能交换。我敢打赌很多人背后几个转速和更新将是痛苦的。我看到客户系统仍然在Windows 2008 R2几个补丁。没有简单的方法来跳过终点。这是一个烂摊子。
是我,或者很多安全研究人员他们爱慕虚荣吗?
我想认为安全研究人员更成熟比跑步机的第一!“海报发表评论。
sametime,我想大多数IT管理员比允许WannaCry更精明的发生,所以谁知道....
我有一个很好的笑了。我不知道它到底是什么对一个安全研究员,你相信否定的基本人类动机钦佩和赞扬。他们可能会不同,但我可以向你保证他们非常动机是“第一次”。他们的声誉是建立在,一样是“正确的”。
这是关于期望与现实冲突。
需要有明确规定;“你无法利用X段时间的例子。这样做会导致立即删除”。
完成了。然后没有人可以抱怨出来的左外野。
此外,他* *可能的访问控制,直接与其他研究人员共享代码,而不是使它向公众提供互联网。
看起来很像哗众取宠。
他可以加密解决方案然后发表;等待几周后,他可能会发表的关键。
它使我想起了一个故事曾经告诉我的一位数学教授如何在1600年代世界数学家约翰·伯努利挑战解决问题找到最快下降的曲线;给点A和B,曲线是什么,如果你把一个球在一个点,它将在最短的时间内到达B点。(答案是最速降线曲线,可以得到从变分法其次是微分方程解决一些魔法)。很明显他不会这样做,除非他已经有了答案,很大一部分的观点是炫耀,显然他写他的解决方案在段落的形式,然后发表每个词的第一个字母。其他人发表他们的答案后,他可以填写其余的字母先证明他真的解决了。
我想象它将支持利用修补后的组织建议的文章。
我的意思是,我们想象,恶意行为实际上是依赖于开源概念验证代码?
或许不是,但是脚本小子,他们也会造成很大的伤害。
你必须登录或创建一个帐户置评。