Ktoś opublikował na GitHubie exploita na śmiertelną podatność w produkcie Microsoftu… Microsoft – musimy to usunąć, mimo że luka już załatana…

11 marca 2021, 22:36 | W biegu | komentarzy 7
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Bohaterem jest ponownie krytyczna podatność (czy raczej seria podatności) w serwerze pocztowym Exchange.

Podatność od jakiegoś czasu jest w najlepsze exploitowana przez niemal tuzin grup APT, a w międzyczasie ktoś postanowił udostępnić exploita dla „rynku cywilnego”. Exploit został umieszczony przez badacza na będącym we władaniu Microsoftu GitHub-ie. Po krótkim czasie Microsoft jednak usunął PoCa – z uzasadnieniem, że taki kod może poczynić zbyt wiele szkód.

Jednocześnie ponownie rozgorzała dyskusja w temacie czy udostępniać exploity / PoC-e? Jedni stoją na stanowisku, że absolutnie nie, inni (np. Google P0) udostępniają je, nawet jeśli producent nie wypuści łatki (a minie 90 dni od zgłoszenia buga przez Google).

Ja zapytam nieco przewrotnie – czy Microsoft nie wyrządził zbyt wielu szkód wypuszczając produkt z kompromitującą dziurą?

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Pol

    Świat idzie w złą stronę, z każdym dniem jestem tego coraz bardziej pewny

    Odpowiedz
  2. Kingu

    No to sobie MS strzelił w kolano… bye, bye GitHubie… umierasz.

    Odpowiedz
  3. Lord Penetrator

    Produkt miał być bezpieczny, a nie jest. Zepsuty towar można zwrócić, a jeśli spowodował szkody (włam, koszty obsługi) dochodzić odszkodowania. Będzie ciekawie.

    Odpowiedz
  4. sir

    Każde oprogramowanie ma błędy. Dawanie do rąk script-kiddies narzędzia, którym mogą wywalić różne biznesy nie jest chyba zbyt dobrym pomysłem

    Odpowiedz
  5. Jonasz

    Mam nadzieję że zadziała tutaj efekt Barbry Streisand i kod zostanie udostęniony setki razy na konkurencyjnych serwisach

    Odpowiedz
  6. abc

    Wszyscy w tym wątku na TT lamentują jakby świat się kończył. Ciekawe czy tak samo by postąpili gdyby ta luka została wykorzystana do wycieknięcia ich danych, bo jakaś obsługująca ich forma jeszcze tego nie załatała.

    Odpowiedz
  7. PYtanie w jakim celu exploit został udostępniony.

    Odpowiedz

Odpowiedz