GitHub и GitLab заблокировали и удалили аккаунт исследователя после публикации PoC для продуктов Microsoft

«poc» в тегах и в заголовке (без конкретизации) смотрится несколько странно.
Складывается впечатление, что автор текста не понимает, что такое PoC.

Ну забанили и забанили. Наверное какие-то правила нарушил. Пускай на своём сервере поднимет апачи, долго что-ли.

Вскоре её примеру последовали и в GitLab.

А они-то почему? :)

А они-то почему? :)

Разрешенный контент: Запрещено размещать вредоносное ПО, материалы, нарушающие авторские права GitLab Terms of Use, а также контент, пропагандирующий насилие, ненависть, незаконную деятельность или содержащий несанкционированную личную информацию.

Потому что нарушил правила использования сервиса.

А вообще кто-то притащил желтуху на habr как всегда.

Потому что нарушил правила использования сервиса.

Что из перечисленного он нарушил? Если что, то с каких пор PoC - вредоносное ПО?

Просто, это в OpenSource можно пачками находить уязвимости, а тут он нашел якобы исправленную уязвимость в Продукте MS, которую отказались исправлять и завизжали корпорасты как сучки. Если это не вообще закладка.

Ну гитхаб он мелкомягкий, так что удивляться не стоит удалению там, а гитлаб тоже, если порыться имеет какие-то партнерства с ними, как минимум c Azure интегрируются.

Надо добавить ссылку на скачивание PoC https://archive.org/details/nightmare-eclipse-repos пароль на архив 7z внутри zip-архива: Microslop

а во-вторых чтобы не казалось что в Microsoft код пишут идеально

Пардон, а кому-то это когда-то казалось?

Что из перечисленного он нарушил?

руководство структуры заблокировало его профиль для отправки багов [...] публично обвинило его в нарушении правил ответственного разглашения

Если что, то с каких пор PoC - вредоносное ПО?

Если это эксплоит, то он по определению вредоносен и не важно с какой целью он публикуется.

Его код пропагандировал насилие и ненависть по отношению к майкрософт.

То есть, сначала MS послало его на МПХ с угрозами, а потом вдруг кудах-тах-тах, нарушил правила ответственного разглашения.

https://habr.com/en/news/1036336/

Chaotic Eclipse заявляли, что публично раскрывают информацию об уязвимостях нулевого дня в Windows в знак протеста против программы вознаграждения за обнаружение ошибок и процесса обработки багов компанией. «Обычно я бы умолял их исправить ошибку, но, если коротко, они лично сказали мне, что разрушат мою жизнь, и они это сделали. Я не уверен, был ли я единственным, кто пережил этот ужасный опыт, или таких было немного, но думаю, большинство просто смирились бы с этим и смирились бы с потерями, но у меня они отняли всё», — заявил исследователь.

Не совсем правда понятно, что они там разрушили конкретно у него, но этот человек не просто внезапно вдруг выложил PoC, выкладке предшествовал какой-то скандал с MS, причем часть уязвимостей была еще 2020-го года, которые остались незакрыты.

Притом, как я понял, эти уязвимости уже без участий забаненного использовались в атаках, что стало ясно после публикации PoC.

После их публикации обнаружилось, что все три уязвимости используются в атаках.

Если это эксплоит, то он по определению вредоносен и не важно с какой целью он публикуется.

Вредоносным PoC не является, так как его цель демонстрация уязвимости и позволяет его запустить без ущерба для тестовой среды. Притом не тайно и тп. Грань может быть тонкой, конечно, но все же в самостоятельном виде без дальнейших модификаций PoC обычно не предназначен для нанесения реального ущерба. Например, PoC с повышением привилегий демонстрирует, что может сделать запись туда, где обычно нужны админские права, но сама эта запись не приводит к реальному взлому системы.

Вообще исторически вредоносным ПО называли вирусы, которые действуют самостоятельно или троянцы, которые незаметно устанавливаются, а называние таким образом программ, которые кому-то надо самостоятельно запустить, заранее зная результат запуска - это не вредоносное ПО. Оно может быть кому-то неугодное и кто-то ножками топать, негодуя.

Ну забанили и забанили.

Тёма, ты?

Вы как-то расширительно трактуете вредоносность. Если он просто открывает cmd с правами системы, то собственно какой вред он наносит? Он ничего ни куда не отправляет, не удаляет и не портит пользовательские данные. Так в чем вред?

То есть, сначала MS послало его на МПХ с угрозами

Это только с его слов. На самом деле даже маленькие компании у которых есть какая-то публичная онлайн активность притягивают кучу неадекватов. А крупные так вообще постоянно с ними взаимодействуют. Так что я бы особо не верил в его слова, пока их нельзя подтвердить или опровергнуть.

Вредоносным PoC не является, так как его цель демонстрация уязвимости и позволяет его запустить без ущерба для тестовой среды

Ты анализировал этот funny.exe? Ты уверен, что он ничего плохого не делает?

Gitlab inc - коммерческая организация и им совершенно не хочется получить риск оказаться в суде из-за очередного товарища с весенним обострением.

Вы как-то расширительно трактуете вредоносность

С его слов эта программа умеет обходить firewall и повышать привелегии в системе. Причем тут cmd? Это блин эксплоит.

Так, начнем сначала. Вы понимаете что такое PoC? Это такая минимальная программа, которая демонстрирует существование проблемы. Как продемонстрировать получение привелегий системы? Запустить консоль где смотрящий может убедиться во всем сам

PoC

А что это?

Умеет, если применит конкретный человек. Но допустим даже. Почитай про то, что делает программа и даже если это эксплоит и т.д, то тут больше вопросов к Microsoft, а не к автору. По крайней мере понятно отчего визг поднялся. Вот например, YellowKey Bitlocker Bypass Vulnerability

Been a while since I saw a bitlocker bypass around, my turn.

This is one of the most insane discoveries I ever found, almost feels like **backdoor** but what do you know, maybe I'm just insane.

How to reproduce : 
1. Copy the FsTx folder to "**YourUSBStick:**\System Volume Information\FsTx" as is and make sure to use a filesystem that's compatible with Windows (NTFS is preferable but I think FAT32/exFAT should work as well). Funny thing is, the vulnerability is extremely convenient, you don't even need to plug an external storage device, you can just pull out the disk, copy the files in the EFI partition, put it back and it will still work. That's how bad it is.
2. Plug the USB stick in your target windows computer with bitlocker protection turned on.
3. Reboot to Windows Recovery Environment Agent (you can do that by holding SHIFT and clicking on the restart button using your mouse)
4. Once you click on the restart button, lift your finger off the SHIFT key and hold CRTL and do NOT lift your finger off it.
5. If you did everything properly, a shell will spawn with unrestricted access to the bitlocker protected volume.


Now why would I say this is a **backdoor** ? The component that is responsible for this bug is not present anywhere (even in the internet) except inside WinRE image and what makes it raise suspicions is the fact that the exact same component is also present with the exact same name in a normal windows installation but without the functionalities that trigger the bitlocker bypass issue. Why ? I just can't come up with an explanation beside the fact that this was intentional. Also for whatever reason, only windows 11 (+Server 2022/2025) are affect, windows 10 is not.

Отличная штука! И лишний раз показывает, что на битлокер полагаться нельзя, а его еще и корпоративным стандартом много где сделали.

Я думаю эти люди сейчас со мной не в одной комнате, но я таких знаю много, потому как про уязвимости в Linux как-то пишут чаще, вследствие того что их просто чаще находят

А так его забанили за то что спалил гос закладку штатовскую.

про уязвимости в Linux как-то пишут чаще, вследствие того что их просто чаще находят

Я думаю про уязвимости в Linux пишут чаще, потому что на Линуксе крутится серьезное дерьмо, а на уязвимости Виндос всем насрать, никто от нее ничего и не ожидает.

Отличная штука! И лишний раз показывает, что на битлокер полагаться нельзя, а его еще и корпоративным стандартом много где сделали.

Да бесспорно отличная. Но нарушает правила github и gitlab. Нельзя, блин, со свиным рылом в калашный ряд. Не надо нарушать правила с которыми ты согласился при регистрации.

гос закладку штатовскую.

Бери выше - тайного правительства рептилоидов.

Вы понимаете что такое PoC?

Да, Proof of Concept. И есть стандартная процедура как, куда и когда их можно публиковать. А не выкладывать в github/gitlab потому что «кисо обиделся».

Империя наносит ответный удар?

пусть он обидился, но он все телодвижения проделал, безмозглые или зашантажированые ФСБ пускай гоношатся.

Может другие от дырявого ведра откажутся.

Может экстренно дырки заделают.

Это лучше чем в тихую негодяи дыры использовать будут.

Вестимо не понимает.

С конкретизацией же - «к продуктам микрософт». PoC обычно делают к дырам, а поскольку «продукты микрософт» - одна большая дыра, к ним PoC тоже можно делать.

proof of the concept - это демонстратор работоспособности принципа, научной или технической идеи.
PoC для продуктов микрософт это то, что Гейтс с Алленом разработали в гараже и полетели показывать Эдварду Робертсу в MITS в 1975 ;-)
А с гитхаба удалили PoC эксплойта для продуктов MS.

тайного правительства рептилоидов

Да какое ж оно тайное, если все в курсе.

А нож по определению холодное оружие.

Если это эксплоит, то он по определению вредоносен и не важно с какой целью он публикуется.

Т.е. публиковать доказательства дырявости линуксячьего модуля ESP, которые тут пол-лора запускало и хвасталось результатом - это нормально и вопросов не вызывает. А пулибковать абсолютно то же самое только про дыры в венде - это «публикация вредоносного ПО». :)

Неплохо бы объясниться.

С его слов эта программа умеет обходить firewall

Какой ещё firewall?

и повышать привелегии в системе.

И в чём проблема? Половина PoC для дырок линуксячьих именно это и делает. И все их радостно компилят и запускают на своих собственных машинах. В результате получают (или не получают) рута на своей собственной машине, где и так рут есть. Ничего вредоносного.

Ну и в чём проблема с существованием и распространением PoC для венды? Ну скомпилит человек PoC и получит полные права на своей машине. Что в этом может быть вредоносного?

Тут вопрос вообще очень интересный - какого хера в венде вообще нет стандартного способа получения прав SYSTEM, чтобы, например, навсегда отключить в Scheduler запуск Windows Update или ещё какую срань, коей там напихано безмерно.

Ну и в чём проблема с существованием и распространением PoC для венды?

Почему ты это пишешь мне, а не в представительства gitlab и gitlab? У них запрещается распространение любого вредоносного кода и ты соглашаешься с этим когда регистрируешься.

Ну скомпилит человек PoC и получит полные права на своей машине. Что в этом может быть вредоносного?

А если не на своей?

какого хера в венде вообще нет стандартного способа получения прав SYSTEM, чтобы, например, навсегда отключить в Scheduler запуск Windows Update

Сразу предупреждаю - у меня очень мало опыта работы с windows, но подозреваю что это было сделано, чтобы не охренеть от сложности поддержки пользователей, которые всё разломали, имея неограниченные права, но не имеющих достаточной для это квалификации.

А нож по определению холодное оружие.

Да, поэтому с ним тебя не пустят, например, в самолет.

Почему ты это пишешь мне, а не в представительства gitlab и gitlab? У них запрещается распространение любого вредоносного кода

Потому что это ты с какого-то перепугу решил, что код для получения консольки с SYSTEM (т.е. полными) привилегиями в системе - это «вредоносный код».

Скажи мне - утилитка для получения консольки с полным доступом в линуксе под названием su - это «вредоносный код»?

А если не на своей?

А это уже не проблема кода или его автора. Если я получу рутовый доступ на серваке гугля с помощью некоей утилитки - то это проблема между мной и гуглем, а тот, кто выложил код этой утилитки никакого отношения к этому вообще не имеет.

Сразу предупреждаю - у меня очень мало опыта работы с windows, но подозреваю что это было сделано, чтобы не охренеть от сложности поддержки пользователей, которые всё разломали, имея неограниченные права, но не имеющих достаточной для это квалификации.

Мне совершенно насрать на отмазки микрософта.

Есть масса линуксов с платной поддержкой и там что-то никто не прячет рута от пользователя. Так что аргумент не принимается.

обходить firewall и повышать привелегии в системе.

И где тут вред? Она что-нибудь портит или удаляет?

Хотя вред может быть причинен какому-нибудь эффективному менеджеру в микрософте, которого начальство взгреет и лишит премии за незакрытую дыру.

А что с гитхаба его удалили - так это частный сайт, что хотят то и делают. Также как например меня могут удалить с ЛОРа если я чем-то не понравлюсь местным модераторам. Они тут хозяева и это их право.

Палка тоже холодное оружие (ударно-дробящего действия).

пулибковать абсолютно то же самое только про дыры в венде - это «публикация вредоносного ПО».

Просто на публикацию очередной дыры в винде какое-то «кисо» в микрософте обиделось - видимо получило нагоняй от своего начальника.

У них запрещается распространение любого вредоносного кода

Так ведь вопрос же в том, считать ли этот(или любой другой) код вредоносным. Вон выше правильно указали на аналогию с ножом, который может быть использован и как оружие. И что теперь - кухонные ножи запретить?

Есть масса линуксов с платной поддержкой и там что-то никто не прячет рута от пользователя.

А например в андроиде прячут. Ну вот так захотели в Гугле. Их андроид - имеют право.

А например в андроиде прячут. Ну вот так захотели в Гугле. Их андроид - имеют право.

А все остальные имеют полное право найти этот спрятанный рут в андроиде на своём телефоне.

главное чтобы ты знал, что твоя дверь это проходной двор, а ставить, не ставить другую дверь, или экстренно переделывать двери, а то покупать перестанут, это другая головная боль, и что втихую дверью стало труднее взламывать это огромный плюс, видно добрые корпораты хотят чтобы ты о дырявой своей двери не знал.

видно тоже хотят прятать, но не могуть. Про ситуцию с андроидом теперь все пользователи жалеют, или за лозунгами прячутся.

какого хера в венде вообще нет стандартного способа получения прав SYSTEM

Можно запускать через планировщик винды задачи в контексте SYSTEM, самому входя только в группу администраторов. Чем не стандартный способ?

Можно запускать через планировщик винды задачи в контексте SYSTEM, самому входя только в группу администраторов.

А удалять из планировщика задачи созданные SYSTEM?

Думаю тут главная проблема в том, что разобраться где хранятся все эти конфиги в оффтопе весьма непросто. Если б знал где они - легко бы оттуда удалил всё что надо. Но это не проблема конкретно планировщика и не проблема аккаунта system, а проблема общего дизайна системы, где всё переусложнено.

главное чтобы ты знал, что твоя дверь это проходной двор

Одно дело когда мне говорят, что моя дверь - проходной двор, а совершенно другое, если рядом вешают ключи и подписывают что это от моей двери.

Я не понимаю чего вы все со мной то спорите. Есть пользовательское соглашение у github и gitlab. В них запрешено выкладывать эксплоиты. С ними и спорьте.

Есть пользовательское соглашение у github и gitlab. В них запрешено выкладывать эксплоиты.

Это враньё. Ничего про эксплойты в соглашении нет ни там ни там. И там и там куча разных эксплойтов валяется, причём для разных систем.

Например, https://github.com/topjohnwu/Magisk - эксплойт для получения рута на ведроиде. https://gitlab.com/exploit-database/exploitdb/ - куча эксплойтов для разных систем и т.п.

А вот именно эти эксплойты для венды их почему-то напрягли.

Чем это венда такая особенная, что для неё нельзя эксплойты выкладывать?

Это возможно, но я делал это только варварским способом: в \System32\Tasks меняем владельца на себя и удаляем то, что требуется + опционально создаём заглушки с соответствующими именами на месте удалённых задач (можно в виде директорий на месте файлов, тогда новые как правило не появляются на их месте)