GitHub下架研究人員公布的Exchange漏洞PoC

一名越南的安全研究人員Nguyen Jang本周三（3/10）透過GitHub分享他撰寫的概念性驗證（Proof of Concept）攻擊程式，所開採的是微軟於今年3月初緊急修補的ProxyLogon漏洞，不過，幾個小時之後，GitHub即將該程式下架，而引起資安社群的不平。

ProxyLogon其實是由4個不同的Exchange Server安全漏洞所組成，Jang所打造的概念性驗證程式則是串連了當中的CVE-2021-26855與CVE-2021-27065漏洞，雖然該PoC程式無法直接用來攻擊，但只要稍加修改就能上陣。

GitHub向Motherboard表示，該平臺了解PoC攻擊程式的公開及散布對資安社群而言具有教育及研究價值，而該平臺的目標則是兼顧此一價值與整個生態系統的安全，且其政策禁止用戶散布正被積極開採之漏洞的攻擊程式。

Jang則向Motherboard透露，他對於自己的PoC攻擊程式被下架沒有什麼意見，但它是由真正的攻擊程式改寫的，將可協助那些正在分析相關漏洞的研究人員。

儘管Jang自己覺得無所謂，但資安社群卻起了不平之鳴。資安顧問公司TrustedSec創辦人Dave Kennedy即說，微軟必須出面解釋為何從GitHub上移除了針對自家產品的PoC攻擊程式，而且該程式所開採的漏洞已經被修補，GitHub則應釐清哪些PoC可以存在於該平臺，而又有哪些不可以，是否只有針對微軟產品的不行？Google安全專家Tavis Ormandy也出面質疑GitHub採用雙重標準，因為它並沒有禁止所有的PoC，而是根據需求擅自仲裁。

這是因為GitHub存在著其它各種安全漏洞的PoC，卻都安然無恙。

事實上，微軟是在意識到ProxyLogon漏洞遭到中國駭客Hafnium開採之後，才修補了相關漏洞，而駭客早在微軟修補前的兩個多月就展開攻擊，且根據資安業者ESET的分析，至少已有10個駭客團隊企圖開採ProxyLogon漏洞，以於受害者的Exchange Server上植入惡意程式。