Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ktoś opublikował na GitHubie exploita na śmiertelną podatność w produkcie Microsoftu… Microsoft – musimy to usunąć, mimo że luka już załatana…
Bohaterem jest ponownie krytyczna podatność (czy raczej seria podatności) w serwerze pocztowym Exchange.
Podatność od jakiegoś czasu jest w najlepsze exploitowana przez niemal tuzin grup APT, a w międzyczasie ktoś postanowił udostępnić exploita dla „rynku cywilnego”. Exploit został umieszczony przez badacza na będącym we władaniu Microsoftu GitHub-ie. Po krótkim czasie Microsoft jednak usunął PoCa – z uzasadnieniem, że taki kod może poczynić zbyt wiele szkód.
Jednocześnie ponownie rozgorzała dyskusja w temacie czy udostępniać exploity / PoC-e? Jedni stoją na stanowisku, że absolutnie nie, inni (np. Google P0) udostępniają je, nawet jeśli producent nie wypuści łatki (a minie 90 dni od zgłoszenia buga przez Google).
Ja zapytam nieco przewrotnie – czy Microsoft nie wyrządził zbyt wielu szkód wypuszczając produkt z kompromitującą dziurą?
–ms
Świat idzie w złą stronę, z każdym dniem jestem tego coraz bardziej pewny
No to sobie MS strzelił w kolano… bye, bye GitHubie… umierasz.
Produkt miał być bezpieczny, a nie jest. Zepsuty towar można zwrócić, a jeśli spowodował szkody (włam, koszty obsługi) dochodzić odszkodowania. Będzie ciekawie.
Każde oprogramowanie ma błędy. Dawanie do rąk script-kiddies narzędzia, którym mogą wywalić różne biznesy nie jest chyba zbyt dobrym pomysłem
Mam nadzieję że zadziała tutaj efekt Barbry Streisand i kod zostanie udostęniony setki razy na konkurencyjnych serwisach
Wszyscy w tym wątku na TT lamentują jakby świat się kończył. Ciekawe czy tak samo by postąpili gdyby ta luka została wykorzystana do wycieknięcia ich danych, bo jakaś obsługująca ich forma jeszcze tego nie załatała.
PYtanie w jakim celu exploit został udostępniony.