Das zu Microsoft gehörende GitHub hat seine Richtlinien zum Teilen von Malware und Exploits auf der Website aktualisiert, um Sicherheitsforscher besser zu unterstützen, die sogenannte „Dual-Use“-Software – oder Software, die für die Sicherheit verwendet werden kann – freigeben Forschung, die jedoch für Angriffe auf Netzwerke verwendet werden könnte.
Es gibt zu, dass die Sprache, die es zuvor verwendet hat, “zu weit gefasst” war.
„Wir gestatten ausdrücklich Dual-Use-Sicherheitstechnologien und Inhalte im Zusammenhang mit der Erforschung von Schwachstellen, Malware und Exploits“, sagt Michael Hanley, Chief Security Officer von GitHub, in einem Blogpost.
SIEHE: Netzwerksicherheitsrichtlinie (TechRepublic Premium)
Dual-Use-Technologien umfassen Tools wie das Metasploit-Framework und Mimikatz, die von Verteidigern, Ransomware-Angreifern und staatlich geförderten Bedrohungsakteuren verwendet werden, um Netzwerke zu kompromittieren und sich in Netzwerken zu bewegen, nachdem sie kompromittiert wurden.
„Obwohl viele dieser Tools missbraucht werden können, beabsichtigen oder wollen wir weder die Absicht beurteilen noch die Frage des Missbrauchs von Dual-Use-Projekten lösen, die auf GitHub gehostet werden“, sagte das Unternehmen in seiner Pull-Anfrage zu Exploit- und Malware-Richtlinien.
“Viele der in dieser laufenden Diskussion zitierten Projekte, wie Mimikatz, Metasploit und andere, sind alle unglaublich wertvolle Werkzeuge, und das Ziel ist es, weiter vor dem zu schützen, was wir in unseren bestehenden [Richtlinien zur akzeptablen Nutzung] als zu weit gefasst empfinden könnten, die sein könnten als feindlich gegenüber diesen Projekten angesehen.”
GitHub hat auch klargestellt, wann es laufende Angriffe unterbrechen kann, die GitHub als Content Delivery Network (CDN) zur Verbreitung von Exploits oder Malware verwenden. GitHub räumte ein, dass der Begriff “Schaden” zu weit gefasst war.
„Wir gestatten die Verwendung von GitHub nicht zur direkten Unterstützung rechtswidriger Angriffe, die technischen Schaden verursachen, den wir weiter als übermäßigen Ressourcenverbrauch, physische Schäden, Ausfallzeiten, Denial-of-Service oder Datenverlust definiert haben“, bemerkt Hanley.
Es wurden auch Abschnitte der Richtlinie aktualisiert, in denen Forscher, die an Dual-Use-Projekten arbeiten, gebeten werden, eine Kontaktstelle bereitzustellen, dies ist jedoch nicht obligatorisch.
Das Richtlinien-Update folgt einer Überprüfung, die GitHub im April initiierte, nachdem es im März den Code des Forschers Nguyen Jang entfernt hatte. Jang hatte einen Proof-of-Concept-(PoC)-Exploit-Code veröffentlicht, der auf zwei von vier Zero-Day-Schwachstellen abzielt – ProxyLogon genannt –, die lokale Exchange-Server betreffen.
Microsoft veröffentlichte am 2. März Patches für die Fehler, warnte jedoch davor, dass eine chinesische staatlich geförderte Gruppe Hafnium die Fehler ausgenutzt hatte, bevor sie Patches veröffentlichte. Microsoft warnte auch davor, dass die Fehler schnell von anderen Bedrohungsakteuren ausgenutzt werden könnten, bevor Kunden Patches einspielten.
Am 9. März teilte Jang seinen Proof-of-Concept-Exploit auf GitHub, wie von The Record berichtet. Obwohl der Code nur ein PoC für zwei der Exchange-Fehler ist, könnte der Code mit geringem Aufwand optimiert werden, um anfällige Exchange-E-Mail-Server auszunutzen und die Codeausführung aus der Ferne zu erreichen, so Experten.
Und zu diesem Zeitpunkt sind viele Unternehmen immer noch betroffene Exchange-Server nicht gepatcht hatte.
SEE: Cloud Computing: Microsoft stellt neue Datenspeicheroptionen für europäische Kunden vor
Laut Motherboard nahm GitHub Jangs PoC einige Stunden nach seiner Veröffentlichung wegen des möglichen Schadens, den es verursachen könnte, herunter, räumte jedoch ein, dass PoC-Exploit-Code für Forschungszwecke für die Sicherheits-Community hilfreich sein könnte.
GitHub geriet von Sicherheitsforschern unter Beschuss, weil es so aussah, als würde es eine Ausnahme für PoC-Exploit-Code machen, der die Software der Muttergesellschaft Microsoft betrifft, während es Forschern ermöglicht, PoC-Code für Nicht-Microsoft-Produkte auf der Website zu teilen, wie Google-Sicherheit Forscher Tavis Ormandy wies auf Twitter darauf hin.
Die andere politische Option besteht darin, das Teilen von PoC-Exploit-Code zu verbieten, aber Ormandy argumentierte, dass dies ein schlechtes Ergebnis für die Verteidiger wäre.
“Ich sage, dass Sicherheitsexperten davon profitieren, Forschung und Zugang zu Tools offen zu teilen, und sie machen uns sicherer. Wir könnten sagen “kein Teilen”, also gibt es nur Schwarzmarktzugang zu Exploits. Ich denke nicht, dass das ein Gewinn ist “, schrieb Ormandy.
Microsoft
Microsoft stellt am 24. Juni die nächsten Schritte für Windows vor Microsoft übernimmt ReFirm Labs, um seine IoT-Sicherheitsangebote zu verbessern Microsoft hat gerade die Zukunft der Arbeit vorgestellt. Es gibt ein großes Problem Microsoft 365 (ehemals Office 365) für Unternehmen: Alles, was Sie wissen müssen
Verwandte Themen:
Microsoft Security TV Data Management CXO Data Centers 