Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode

Vulnerado el sitio de desarrollo Halo de Microsoft

Una vez más, Microsoft ha sido golpeado con éxito por un ataque de secuestro de dependencias.

Anteriormente, como informó BleepingComputer por primera vez, un investigador había pirateado éticamente a  más de 35 importantes empresas de tecnología , incluida Microsoft, al explotar una debilidad llamada “confusión de dependencia”.

Este mes, otro investigador encontró una dependencia interna de npm utilizada por un proyecto de código abierto.

Después de publicar una dependencia pública con el mismo nombre, comenzó a recibir mensajes de los servidores de desarrollo de juegos Halo de Microsoft.

Secuestrada la misteriosa dependencia de “búsqueda rápida”

La semana pasada, el investigador Ricardo Iramar dos Santos estaba auditando un paquete de código abierto  SymphonyElectron en busca de errores, que fue cuando se encontró con una dependencia misteriosa utilizada por el paquete.

Esta dependencia se denominó ” búsqueda rápida ” , pero este paquete no estaba presente en el registro público de  npmjs.com .

Una búsqueda rápida de dependencia interna de npm
Una búsqueda rápida de dependencia interna de npm utilizada por el proyecto OSS  (GitHub)

Al darse cuenta de esto, dos Santos registró un paquete con el mismo nombre en el registro de npm, con su código personalizado (que se muestra a continuación en este artículo).

Los artículos anteriores de BleepingComputer sobre la confusión de dependencias explican que el término representa una debilidad inherente en varios administradores de repositorios de código abierto cuando se trata de recuperar dependencias especificadas para un paquete de software.

Si un proyecto utiliza una dependencia privada creada internamente y también existe una dependencia con el mismo nombre en un repositorio público, esto crearía “confusión” para las herramientas de desarrollo en cuanto a a qué dependencia se hace referencia.

Como tal, la dependencia pública con el mismo nombre se introduciría en el entorno de desarrollo en lugar de la dependencia privada prevista.

La “confusión de dependencia” o los ataques de secuestro, por lo tanto, permiten a los atacantes inyectar su código malicioso en una aplicación interna en un ataque automatizado a la cadena de suministro.

En marzo de este año, los atacantes aprovecharon esta técnica para apuntar a empresas prominentes con código malicioso, ampliando el alcance de esta debilidad más allá de la investigación de recompensas por errores benignos.

La versión falsificada del paquete de “búsqueda rápida” publicada por dos Santos como parte de esta investigación ha sido eliminada del registro público de npm.

Sin embargo, como investigador de seguridad de Sonatype, pude obtener una versión de los sistemas automatizados de detección de malware de Sonatype, donde se había marcado como ‘malicioso’ en abril de 2021:

paquete de búsqueda rápida.json
Dentro de la dependencia de búsqueda rápida del investigador publicada en npmjs.com  (BleepingComputer)

El código contenido en el paquete de dos Santos accede a parámetros sensibles de un sistema vulnerable a la confusión de dependencia y los carga en el servidor PoC del investigador.

Estos campos y archivos incluyen:

  1. Nombre de host del sistema y nombre de usuario de la cuenta
  2. Variables de entorno (env)
  3. Información sobre el nombre y la versión del sistema operativo
  4. Dirección IP pública del sistema (IPv4 o IPv6)
  5. archivo / etc / hosts
  6. archivo / etc / passwd
  7. archivo / etc / shadow

El servidor de juegos Microsoft Halo hackeado responde

A las pocas horas de publicar el paquete en el registro de npm, el investigador notó que recibía ping-backs de los servidores de Microsoft.

“Las consultas DNS provenían de 13.66.137.90, que es un servidor DNS de Microsoft y, después, una solicitud POST de 51.141.173.203, que también es una dirección IP de Microsoft (Reino Unido)”, explica dos Santos en su publicación de blog. .

El investigador afirma que al acceder a https://51.141.173.203 se le presentó un certificado SSL que enumera a Microsoft como la organización, con el campo Common Name (CN) listado  * .test.svc.halowaypoint.com .

El dominio  halowaypoint.com  representa la serie de videojuegos Halo , publicada por Xbox Game Studios de Microsoft.

Esto confirmó aún más las sospechas del investigador de que un servidor de Microsoft había sido golpeado con éxito por su ataque de secuestro de dependencias, y el investigador se puso en contacto con Microsoft.

Algunos de los datos devueltos por el servidor de Microsoft incluían el nombre de usuario del sistema, las rutas a los entornos de desarrollo de aplicaciones, varios ID, etc.

Aunque, como se muestra en el código anterior, el investigador también intentó acceder a archivos confidenciales del sistema, incluidos:  / etc / passwd y / etc / shadow .

salida de confusión de dependencia
Algunos de los campos obtenidos por el investigador de los servidores de Microsoft

Según lo confirmado por BleepingComputer, los certificados SSL presentes en los   subdominios halowaypoint.com enumeran a Microsoft Corporation como la organización detrás de estos, y los registros de WHOIS para 51.141.173.203 también enumeran a Microsoft como la organización responsable.

Microsoft aparece en el certificado SSL
Los subdominios de * .halowaypoint.com enumeran a Microsoft como la organización  (BleepingComputer)

Dicho esto, no pudimos encontrar un registro de búsqueda inversa que asocie directamente la dirección IP 51.141.173.203 con un dominio de Microsoft o un certificado SSL, lo que indica que la IP puede haberse desconectado, siguiendo el informe del investigador.

BleepingComputer se acercó a Microsoft para hacer comentarios y nos dijeron:

“Investigamos y determinamos que el problema subyacente ya se había abordado antes del informe”, dijo un portavoz de Microsoft a BleepingComputer.

Además, la compañía afirma que este informe hizo referencia a un problema breve introducido por un cambio de terceros, y no hay indicios de ningún impacto en el cliente.

Durante el último año, los ataques a repositorios de código abierto, incluidos npm , PyPI y RubyGems,  han mostrado un aumento constante.

Ahora, con la confusión de dependencia en la mezcla y los actores que publican activamente miles de paquetes de imitación  en estos ecosistemas, ha surgido un desafío adicional para las organizaciones y los mantenedores de repositorios para frenar la actividad maliciosa.

Fuente: www.bleepingcomputer.com

Comentarios

comentarios

Dragora

Posts Relacionados

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Click to listen highlighted text!