GitHub下架研究人员公布的Exchange漏洞PoC

一名越南的安全研究人员Nguyen Jang本周三(3/10)透过GitHub分享他撰写的概念性验证(Proof of Concept)攻击程式，所开采的是微软于今年3月初紧急修补的ProxyLogon漏洞，不过，几个小时之后，GitHub即将该程式下架，而引起资安社群的不平。

ProxyLogon其实是由4个不同的Exchange Server安全漏洞所组成，Jang所打造的概念性验证程式则是串联了当中的CVE-2021-与CVE-2021-漏洞，虽然该PoC程式无法直接用来攻击，但只要稍加修改就能上阵。

GitHub向Motherboard表示，该平台了解PoC攻击程式的公开及散布对资安社群而言具有教育及研究价值，而该平台的目标则是兼顾此一价值与整个生态系统的安全，且其政策禁止用户散布正被积极开采之漏洞的攻击程式。

Jang则向Motherboard透露，他对于自己的PoC攻击程式被下架没有什么意见，但它是由真正的攻击程式改写的，将可协助那些正在分析相关漏洞的研究人员。

尽管Jang自己觉得无所谓，但资安社群却起了不平之鸣。资安顾问公司TrustedSec创办人Dave Kennedy即说，微软必须出面解释为何从GitHub上移除了针对自家产品的PoC攻击程式，而且该程式所开采的漏洞已经被修补，GitHub则应厘清哪些PoC可以存在于该平台，而又有哪些不可以，是否只有针对微软产品的不行?Google安全专家Tavis Ormandy也出面质疑GitHub采用双重标准，因为它并没有禁止所有的PoC，而是根据需求擅自仲裁。

这是因为GitHub存在着其它各种安全漏洞的PoC，却都安然无恙。

事实上，微软是在意识到ProxyLogon漏洞遭到中国骇客Hafnium开采之后，才修补了相关漏洞，而骇客早在微软修补前的两个多月就展开攻击，且根据资安业者ESET的分析，至少已有10个骇客团队企图开采ProxyLogon漏洞，以于受害者的Exchange Server上植入恶意程式。

#漏洞#

文章来源：《教育研究与实验》 网址: http://www.jyyjysyzz.cn/zonghexinwen/2021/0314/862.html