Sélectionner une page


Le code a été publié mercredi par un chercheur vietnamien Nguyen Jang un rapport dans le L’enregistrement, un site Web de Recorded Future, société de renseignement sur les menaces soutenue par la CIA.

Mais quelques heures plus tard, GitHub a supprimé le code. iTWire a demandé à l’entreprise pourquoi elle avait fait cela.

Le chercheur britannique en sécurité Marcus Hutchins, qui a mentionné le PoC pour la première fois, a déclaré dans un tweet qu’il ne fonctionnait pas dans son état d’origine, mais qu’il avait besoin de quelques améliorations.


Certains autres chercheurs ont été déconcertés par les actions de GitHub. David Kennedy, le directeur général et fondateur de la société de sécurité TrustedSec, mentionné dans un tweet: « Wow, je suis complètement sans voix ici. Microsoft a vraiment supprimé le code PoC de GitHub.

« C’est énorme parce qu’un code de chercheur en sécurité a été supprimé de GitHub pour son propre produit et il a déjà été corrigé. Ce n’est pas une bonne chose. »

Hutchins n’était pas d’accord, disant: « Déjà corrigé. Mec, il y a plus de 50 000 serveurs Exchange non corrigés. La publication d’une chaîne RCE opérationnelle complète n’est pas de la recherche sur la sécurité, c’est imprudent et stupide. »

Un autre chercheur, qui a posté sous l’emprise de SBS Diva, a soutenu la position de Hutchin, en disant: « ‘A déjà été corrigé.’ Au nom des PME qui n’ont peut-être pas été corrigées, pouvons-nous reconnaître que tout le monde n’est pas dans le même bateau? « 

Mais Kennedy n’était pas d’accord. « Ce n’est pas le débat ici, ce n’était pas un exploit fonctionnel, c’était un PoC », a-t-il déclaré.

« Est-ce que j’en aurais déjà publié un? Non … Je lui donnerais certainement une période beaucoup plus longue. Microsoft ne peut pas stipuler une fenêtre de temps pour son propre produit, ils ont retardé un correctif de plus de deux mois. »

Le chercheur bien connu de Google Tavis Ormandy était également contre la suppression du PoC, soulignant comment d’autres chercheurs pourraient en bénéficier. « Il est regrettable qu’il n’y ait aucun moyen de partager la recherche et les outils avec des professionnels sans les partager également avec les attaquants, mais de nombreuses personnes (comme moi) pensent que les avantages l’emportent sur les risques », a-t-il déclaré.

« Par exemple, @maddiestone analyse les variantes et les causes profondes des vulnérabilités. Sans un accès facile à la recherche, leur travail est plus difficile, il est donc avantageux de s’assurer qu’ils ont accès aux exploits. »

Il faisait référence à Maddie Stone, chercheuse au Project Zero de Google. Elle a ajouté: « Oui, c’est un investissement plus important pour corriger les binaires compilés diff pour voir ce que vous * pensez * être la vulnérabilité et * ensuite * pour être en mesure d’évaluer si le correctif est correct. avec les détails et un POC.

« Pour les attaquants, il s’agit d’un excellent retour sur investissement. Pour les défenseurs qui ont des dizaines, sinon plus, de vulnérabilités sur leur liste de choses à faire, ce n’est souvent pas la meilleure utilisation du temps. Cependant, lorsqu’un PoC et des détails techniques sont partagés. , nous pouvons sauter.  » l’étape d’essayer de découvrir le vuln. « 

Stone a ajouté: «Même à partir de mon temps dans l’équipe des logiciels malveillants Android, si vous avez une énorme file d’attente de choses à analyser et à signer, je pourrais avoir de nouvelles signatures déployées des jours ou des semaines plus rapidement avec un POC déployé au lieu d’essayer de comprendre de quoi il s’agit peut me ressembler. « 

Dans le passé, il y a eu des cas d’exploits logiciels Microsoft publiés sur GitHub avec du code PoC pour un bogue connu sous le nom de SMBGhost. publié Juin dernier.

Toutefois, cet échec n’a pas entraîné la moitié de l’utilisation car le serveur Exchange ne fonctionnait pas correctement.

PRÉSENTATION D’ITWIRE TV

iTWire TV apporte une valeur unique au secteur de la technologie en offrant une gamme d’interviews vidéo, d’actualités, de vues et de notes, et en permettant aux fournisseurs de promouvoir votre entreprise et vos messages marketing.

Nous travaillerons avec vous pour développer le message et mener l’entrevue ou l’examen du produit de manière sûre et collaborative. Contrairement aux autres chaînes YouTube Tech, nous créons une histoire autour de votre message et la publions sur la page d’accueil d’ITWire, avec un lien vers votre message.

De plus, votre message de publication d’entrevue peut apparaître dans jusqu’à 7 affichages de messages différents sur notre site Web iTWire.com pour générer du trafic et des lecteurs vers votre contenu vidéo et vos téléchargements. Cela peut être une opportunité importante de génération de leads pour votre entreprise.

Nous proposons également 3 vidéos en un seul enregistrement / session si vous le souhaitez afin que vous ayez une gamme de vidéos à proposer à vos clients. Votre équipe de vente peut ajouter vos e-mails aux supports de vente et au pied de page de leurs e-mails de vente et de marketing.

Consultez les dernières actualités techniques, opinions, interviews, critiques, promotions de produits et événements. Plus des vidéos amusantes de nos lecteurs et clients.

VOIR CE QUI EST MAINTENANT SUR ITWIRE TELEVISION!





Source link

Recent Posts