GitHub verbannt Beispielcode für aktiv genutzte Exploits
Auslöser ist ein im April veröffentlichter Proof-of-Concept für die ProxyLogon-Lücke in Exchange Server. Zu Bildungszwecken dürfen Exploits weiterhin auf GitHub veröffentlicht werden.
GitHub hat seine Community-Richtlinie ergänzt. Sie regelt nun auch den Umgang mit Exploits und Malware-Beispielen, die über GitHub gehostet werden sollen. Künftig ist es demnach verboten, Beispielcode – sogenannte Proof-of-Concept (PoC)– für Sicherheitslücken zu veröffentlichen, wenn diese bereits aktiv angegriffen werden.
Wie Bleeping Computer berichtet, stand GitHub bereits seit April mit Cybersicherheitsforschern in Kontakt, um Feedback zu der geplanten Richtlinienänderung einzuholen. Sicherheitsexperten nutzen die von Microsoft betriebene Plattform, um auf Sicherheitslücken aufmerksam zu machen und Beispielcode für Exploits zu veröffentlichen.
Im April hatte GitHub einen solchen PoC jedoch gelöscht. Es handelte sich um Beispielcode für einen Exploit, der die ProxyLogon-Lücke in Microsoft Exchange Server ausnutzte, eine zu dem Zeitpunkt bei Cyberkriminellen sehr beliebte Schwachstelle. ” Wir wissen, dass die Veröffentlichung und Verbreitung von Proof-of-Concept-Exploit-Code für die Sicherheits-Community einen Bildungs- und Forschungswert hat, und unser Ziel ist es, diesen Nutzen mit dem Schutz des breiteren Ökosystems in Einklang zu bringen. In Übereinstimmung mit unseren Acceptable Use Policies hat GitHub den Gist deaktiviert, nachdem berichtet wurde, dass er Proof-of-Concept-Code für eine kürzlich bekannt gewordene Sicherheitslücke enthält, die aktiv ausgenutzt wird”, rechtfertigte Microsoft den Schritt.
Die neue Richtlinie gibt Sicherheitsforschern jedoch weiterhin die Möglichkeit, Beispielcode für Exploits und Schadsoftware auf GitHub hochzuladen, solange dieser auch den Zweck hat, die Forschung voranzubringen – selbst dann, wenn ein PoC auch hilfreich für Cyberkriminelle sein könnte.
Allerdings behält sich GitHub vor, auch gegen diese sogenannten Dual-Use-Inhalte vorzugehen, und zwar sobald sie für unrechtmäßige Angriffe und Malware-Kampagnen eingesetzt werden. In dem Fall sei es aber meist ausreichend, die Inhalte durch eine Authentifizierung zu schützen. Inhalte sollen nur dann tatsächlich gelöscht werden, wenn keine anderen Einschränkungen möglich sind.
Verboten sind indes Repositories, bei denen GitHub zum Content Delivery Network für einen Exploit oder ein Malware wird. “Wir erlauben keine Nutzung von GitHub zur direkten Unterstützung rechtswidriger Angriffe, die technischen Schaden verursachen, den wir weiter als übermäßigen Ressourcenverbrauch, physische Schäden, Ausfallzeiten, Denial-of-Service oder Datenverlust definiert haben”, teilte GitHub mit. Ein Beschwerdeverfahren soll Nutzern zudem die Möglichkeit geben, gegen ihrer Ansicht nach ungerechtfertigte Löschungen seitens GitHub vorzugehen.