Tecnología

Microsoft golpeado con éxito por el secuestro de dependencias nuevamente

Microsoft

Una vez más, Microsoft ha sido golpeado con éxito por un ataque de secuestro de dependencias.

Anteriormente, como informó BleepingComputer por primera vez, un investigador había pirateado éticamente a más de 35 importantes empresas de tecnología, incluida Microsoft, al explotar una debilidad llamada “confusión de dependencia”.

Este mes, otro investigador encontró una dependencia interna de npm utilizada por un proyecto de código abierto.

Después de publicar una dependencia pública con el mismo nombre, comenzó a recibir mensajes de los servidores de Microsoft.

Secuestrada la misteriosa dependencia de “búsqueda rápida”

La semana pasada, el investigador Ricardo Iramar dos Santos estaba auditando un paquete de código abierto SinfoníaElectrón para errores, que es cuando se encontró con una dependencia misteriosa utilizada por el paquete.

Esta dependencia se llamó “búsqueda rápida, “pero este paquete no estaba disponible para el público npmjs.com registro.

Una búsqueda rápida de dependencia interna de npm
Una búsqueda rápida de dependencia interna de npm utilizada por el proyecto OSS (GitHub)

Al darse cuenta de esto, dos Santos registró un paquete con el mismo nombre en el registro de npm, con su código personalizado (que se muestra a continuación en este artículo).

Los artículos anteriores de Bleeping Computer sobre la confusión de dependencias explican que el término representa una debilidad inherente en varios administradores de repositorios de código abierto cuando se trata de recuperar dependencias especificadas para un paquete de software.

Si un proyecto utiliza una dependencia privada creada internamente y también existe una dependencia con el mismo nombre en un repositorio público, esto crearía “confusión” para las herramientas de desarrollo en cuanto a a qué dependencia se está refiriendo.

Como tal, la dependencia pública con el mismo nombre se introduciría en el entorno de desarrollo en lugar de la dependencia privada prevista.

La “confusión de dependencia” o los ataques de secuestro, por lo tanto, permiten a los atacantes inyectar su código malicioso en una aplicación interna en un ataque automatizado de la cadena de suministro.

En marzo de este año, los atacantes explotaron esta técnica para apuntar a empresas prominentes con código malicioso, expandiendo el alcance de esta debilidad más allá de la investigación de recompensas por errores benignos.

La versión falsificada del paquete de “búsqueda rápida” publicada por dos Santos como parte de esta investigación ha sido remoto del registro público npm.

Sin embargo, como investigador de seguridad de Sonatype, pude obtener una versión de los sistemas automatizados de detección de malware de Sonatype, donde se había marcado como ‘malicioso’ en abril de 2021:

paquete de búsqueda rápida.json
Dentro de la dependencia de búsqueda rápida del investigador publicada en npmjs.com (Computadora que suena)

El código contenido en el paquete de dos Santos accede a parámetros confidenciales de un sistema vulnerable a la confusión de dependencias y los carga en el servidor PoC del investigador.

Estos campos y archivos incluyen:

  1. Nombre de host del sistema y nombre de usuario de la cuenta
  2. Variables de entorno (env)
  3. Información sobre el nombre y la versión del sistema operativo
  4. Dirección IP pública del sistema (IPv4 o IPv6)
  5. archivo / etc / hosts
  6. archivo / etc / passwd
  7. archivo / etc / shadow

El servidor de juegos Microsoft Halo hackeado responde

A las pocas horas de publicar el paquete en el registro de npm, el investigador notó que recibía ping-backs de los servidores de Microsoft.

“Las consultas DNS provenían de 13.66.137.90, que es un servidor DNS de Microsoft y, después, una solicitud POST de 51.141.173.203, que también es una dirección IP de Microsoft (Reino Unido)”, explica dos Santos en su entrada en el blog.

El investigador afirma que al acceder a https://51.141.173.203 se le presentó un certificado SSL que enumera a Microsoft como la organización, con el campo Common Name (CN) listado * .test.svc.halowaypoint.com.

El dominio halowaypoint.com representa el Videojuego de halo serie, publicada por Xbox Game Studios de Microsoft.

Esto confirmó aún más las sospechas del investigador de que un servidor de Microsoft había sido afectado con éxito por su ataque de secuestro de dependencias, y el investigador se puso en contacto con Microsoft.

Algunos de los datos devueltos por el servidor de Microsoft incluían el nombre de usuario del sistema, rutas a entornos de desarrollo de aplicaciones, varios ID, etc.

Aunque, como se muestra en el código anterior, el investigador también intentó acceder a archivos confidenciales del sistema, incluidos: / etc / passwd otro / etc / shadow.

DEPLOYMENT_BASEPATH = / opt / corredor
USUARIO = corredor
npm_config_user_agent = npm / 6.14.12 nodo
/v12.22.1 linux x64 ci / github-actions
GITHUB_ENV = / casa / corredor / trabajo / _temp /
_runner_file_commands / set_env_73c3242d-
3ebe-4fef-b35e-4c01f044ff0b
PIPX_HOME = / opt / pipx
GRAALVM_11_ROOT = / usr / local / graalvm
/graalvm-ce-java11-21.0.0.2
AZURE_EXTENSION_DIR = / opt / az
/ azcliextensions
npm_package_description = búsqueda rápida
ImageVersion = 20210412.1
SWIFT_PATH = / usr / share / swift / usr / bin
GITHUB_RUN_ID = 773121366
GOROOT_1_16_X64 = / opt / hostingtoolcache / go
/1.16.3/x64
ANT_HOME = / usr / share / ant
RUNNER_TRACKING_ID = github_ade7a12e-
905e-4b34-b09e-b3ddda770183
HOMEBREW_CELLAR = “/ inicio / linuxbrew
/.linuxbrew/Cellar “
npm_package_name = búsqueda rápida

Según lo confirmado por Bleeping Computer, los certificados SSL presentes en halowaypoint.com Los subdominios enumeran a Microsoft Corporation como la organización detrás de estos, y los registros de WHOIS para 51.141.173.203 también enumeran a Microsoft como la organización responsable.

Microsoft aparece en el certificado SSL
Los subdominios de * .halowaypoint.com enumeran a Microsoft como la organización (Computadora que suena)

Dicho esto, no pudimos encontrar un registro de búsqueda inversa que asocie directamente la dirección IP 51.141.173.203 con un dominio de Microsoft o un certificado SSL, lo que indica que la IP puede haberse desconectado, siguiendo el informe del investigador.

BleepingComputer se acercó a Microsoft para hacer comentarios y nos dijeron:

“Investigamos y determinamos que el problema subyacente ya se había abordado antes del informe”, dijo un portavoz de Microsoft a BleepingComputer.

Además, la compañía afirma que este informe hizo referencia a un problema breve introducido por un cambio de un tercero, y no hay indicios de ningún impacto en el cliente.

Durante el último año, los ataques a repositorios de código abierto, incluidos npm, PyPI y RubyGems, han mostrado un aumento constante.

Ahora, con la confusión de la dependencia en la mezcla y los actores que publican activamente miles de paquetes de imitación Para estos ecosistemas, ha surgido un desafío adicional para las organizaciones y los mantenedores de repositorios para frenar la actividad maliciosa.

Leave a Comment

You may also like

Más