Microsoft wurde jetzt zum zweiten Mal in 2021 von einem Dependency Hijacking-Angriff, den Sicherheitsforscher ausgeführt haben, betroffen. Ein Sicherheitsforscher hat entsprechende interne Abhängigkeiten in einem Open Source NPM-Paket gefunden, welches von Microsofts Halo-Spielentwicklungsserver eingesetzt wird. Damit wären wohl Supply-Chain-Angriffe möglich gewesen. Dependency Confusion und das drauf aufbauende Dependency Hijacking scheinen ein wachsendes Problem bei der Software-Entwicklung darzustellen.
Anzeige
Was ist Dependency Hijacking/Confusion?
Bei Dependency Confusion handelt es sich um ein Problem bei der Software-Entwicklung, wo Pakete auf Bibliotheken anderer Pakete zugreifen und deren Funktion nutzen. Konkret geht es darum, dass die Namen interner Pakete oft in öffentlichen Code-Repositories (wie GitHub), in package.json-Dateien oder anderen Quellcode-Dateien referenziert werden.
Gelingt es einem Angreifer, ein Paket gleichen Namens in einem öffentlichen Code-Repository zu registrieren, wird gegebenenfalls dieses neue Paket über die Abhängigkeiten geladen. Man spricht dann von Dependency Hijacking (siehe auch diesen Beitrag).
35 Organisationen im Feb. 2021 betroffen
Ich hatte es aus Zeitgründen nicht im Blog aufgegriffen, aber im Februar 2021 konnten Sicherheitsforscher demonstrieren, wie mindestens 35 Organisationen durch Dependency Hijacking für Software-Liederkettenangriffe (Software Supply Chain-Attacks) anfällig waren. Unter Ausnutzung des "Dependency Confusion" oder "Namespace Confusion" bekannen Konzepts konnte der Sicherheitsforscher Alex Birsan seine gefälschten Proof-of-Concept-Pakete (PoC) auf automatisierte Weise in die Entwicklungsumgebungen von Microsoft, Uber, Tesla, Yelp und Shopify und anderen Tech-Firmen eingeschleust. Das Ganze ist beispielsweise bei Sonatype beschrieben.
Neuer Dependency Hijacking-Fall bei Microsoft
Nun hat es Microsoft ein weiteres Mal getroffen, wie man in nachfolgendem Tweet und in diesem Artikel von Bleeping Computer nachlesen kann.
Der Sicherheitsforscher Ricardo Iramar dos Santos überprüfte ein Open-Source-Paket Namens SymphonyElectron auf Fehler, als er auf eine mysteriöse Abhängigkeit Namens "swift-search" stieß, die von dem Paket verwendet wurde. Aber dieses Paket war nicht in der öffentlichen npmjs.com-Registrierung vorhanden.
Nachdem er eine öffentliche Abhängigkeit mit demselben Namen am pnpjs.com veröffentlicht hatte, erhielt er plötzlich Nachrichten von Microsofts Halo-Spielentwicklungsservern. Als er dies erkannte, registrierte dos Santos ein Paket mit demselben Namen, aber mit seinem eigenen Code, in der npm-Registry.
Innerhalb weniger Stunden nach der Veröffentlichung des Pakets in der npm-Registry bemerkte der Forscher, dass er Ping-Backs von Microsofts Servern erhielt. Einige der Daten, die vom Microsoft-Server zurückgegeben wurden, umfassten Systembenutzernamen, Pfade zu Anwendungsentwicklungsumgebungen, verschiedene IDs usw. Dies bestätigte den Verdacht des Forschers, dass ein Microsoft-Server erfolgreich von seiner Dependency-Hijacking-Attacke getroffen worden war.
Anzeige
Der Sicherheitsforscher kontaktierte Microsoft, worauf das Problem beseitigt wurde. Der Vorfall zeigt aber erneut, wie löchrig die Sicherheit in vielen Software-Projekten ist. Und der Trend, Open Source-Pakete auch in kommerziellen Produkten über offizielle Repositories einzubeziehen, trägt dazu bei. Ich würde mich nicht wundern, wenn wir in näherer Zukunft über einen Lieferkettenangriff oder eine Hack über diese Schiene erfahren.
2015
Da kann man schön erkennen, warum Microsoft jahrelang alles selber Entwickelt hat, nichts Externes Verwenden wollte und von Open Source geschichten abstand hielt.
Genau das, was Microsoft jahrelang gemacht hat, hat die Produkte vor Angriffen geschützt.
Microsoft und jahrelang sicher vor Angriffen
da lach ich mich kaputt.