GitHub, di proprietà di Microsoft, ha aggiornato le sue politiche sulla condivisione di malware ed exploit sul sito per supportare meglio i ricercatori di sicurezza che condividono i cosiddetti programmi “dual-use”, software che può Essere utilizzato per la ricerca sulla sicurezza ma può essere utilizzato per attaccare le reti.

Riconosce che il linguaggio che ha usato in precedenza era “troppo sciolto”.

“Consentiamo esplicitamente tecnologie di sicurezza a doppio uso e contenuti relativi alla ricerca di vulnerabilità, malware ed exploit”, Michael Hanley, Chief Security Officer di GitHub, afferma in un post sul blog.

Le tecnologie a duplice uso includono strumenti come il framework Metasploit e Mimikatz, che i difensori, gli aggressori ransomware e gli Attori Delle Minacce sponsorizzati dallo stato utilizzano per violare le reti e spostarsi all’interno delle reti dopo che sono state compromesse.

“Anche se molti di questi strumenti possono essere abusati, non intendiamo o desideriamo separare l’intento o risolvere il problema dell’abuso dei progetti a duplice uso ospitati su GitHub”, La società ha dichiarato nella sua richiesta di ritiro in merito alle sue politiche di sfruttamento e malware.

“Molti dei progetti citati in questa discussione in corso, come mimikatz, metasploit e altri, sono tutti strumenti incredibilmente preziosi e l’obiettivo è aumentare la protezione contro ciò che ritenevamo fosse un linguaggio eccessivamente sciolto nella nostra area attuale. [Acceptable Use Policies] Può essere considerato ostile a questi progetti così come scritti”.

GitHub ha anche indicato quando potrebbe interrompere attacchi persistenti che utilizzano GitHub come rete di distribuzione di contenuti (CDN) per distribuire exploit o malware. GitHub ha riconosciuto che il suo linguaggio attorno al termine “danno” era troppo vago.

“Non consentiamo l’utilizzo di GitHub a supporto diretto di attacchi illegali che causano danni tecnici, che abbiamo anche identificato come consumo eccessivo di risorse, danni fisici, tempi di inattività, negazione del servizio o perdita di dati”, osserva Hanley.

Le sezioni politiche aggiornate richiedono anche ai ricercatori che lavorano su progetti a duplice uso di fornire un punto di contatto, ma questo non è obbligatorio.

L’aggiornamento della politica segue una revisione che GitHub ha iniziato ad aprile dopo aver eliminato il codice dal ricercatore Nguyen Zhang a marzo. Jang ha pubblicato un codice exploit Proof of Concept (PoC) che prende di mira due delle quattro vulnerabilità zero-day – soprannominate ProxyLogon – che interessano i server Exchange all’interno dell’azienda.

Microsoft ha rilasciato patch per i bug il 2 marzo, ma ha avvertito che il gruppo sponsorizzato dallo stato cinese Hafnium stava sfruttando i difetti prima di rilasciare le patch. Microsoft ha anche avvertito che i bug potrebbero essere rapidamente sfruttati da altri attori delle minacce prima che i clienti applichino le patch.

Il 9 marzo, Jang ha condiviso il suo exploit proof-of-concept su GitHub, Come menzionato dal record. Nonostante sia solo un PoC per due degli svantaggi di Exchange, il codice può essere modificato con poco sforzo per sfruttare i server di posta elettronica di Exchange vulnerabili e ottenere l’esecuzione del codice in remoto, secondo gli esperti.

E a questo punto, molte organizzazioni non sono ancora in grado di riparare i server Exchange interessati.

per ogni scheda madreGitHub ha rimosso il PoC di Jang poche ore dopo la sua pubblicazione a causa del potenziale danno che poteva causare, ma ha riconosciuto che il codice exploit PoC potrebbe essere utile alla comunità della sicurezza per scopi di ricerca.

GitHub è stato preso di mira dai ricercatori della sicurezza perché sembra essere un’eccezione al codice di exploit PoC che colpisce il software Microsoft nativo, consentendo ai ricercatori di condividere il codice PoC per prodotti non Microsoft sul sito, Come notato dal ricercatore di sicurezza di Google Tavis Ormandy su Twitter.

Un’altra opzione politica è vietare la condivisione del codice exploit PoC, ma Ormandy ha affermato che sarebbe un risultato negativo per i difensori.

“Sto dicendo che i professionisti della sicurezza traggono vantaggio dalla condivisione aperta della ricerca e dall’accesso agli strumenti e ci rendono più sicuri. Possiamo dire ‘non condivisione’, quindi c’è solo l’accesso al mercato nero per sfruttare le vulnerabilità. Non credo che sia un guadagno”, ha scritto Ormandy.