Появилась
информация про новую атаку на цепочку зависимостей, которая зацепила
Microsoft.
Напомним, что эта атака использует недостатки в работе менеджеров пакетов, которые отдают предпочтение загрузке пакета из открытого репозитория перед аналогичной загрузкой частной сборки. Таким образом, если пакет с определенным именем отсутствует в открытом репозитории, то хакер может залить туда поддельный, являющийся на самом деле вредоносом. А тот в свою очередь будет подтянут как вполне легальный.
В феврале этот трюк позволил
Алексу Бирсану условно скомпрометировать сети более 35 крупных технологических компаний, включая
Microsoft,
Apple,
PayPal и др.
В этот раз исследователь
Рикардо Ирамар дос Сантос изучал опенсорсный пакет
SymphonyElectron и наткнулся на зависимость в виде подгружаемого пакета
swift-search, который отсутствовал в
npmjs .com.
Дос Сантос зарегистрировал собственный пакет с тем же именем, который скидывал на его PoC-сервер параметры системы, подтянувшей пакет.
Через несколько часов после публикации исследователь обнаружил, что ̶е̶г̶о̶ ̶в̶ы̶з̶ы̶в̶а̶е̶т̶ ̶Т̶а̶й̶м̶ы̶р̶ ему отвечает игровой сервер
Microsoft Halo. Эксперт сообщил данную информацию в
Microsoft, а дальше начались обычные ритуальные танцы "я не я, баг а не фича" (сам
дос Сантос называет решение сообщить об ошибке в
MSRC "ужасной ошибкой").
Сначала они ответили, что это не их дело вообще, а вопрос к поддержке
SymphonyElectron. Через час они попросили
дос Сантоса воспроизвести компрометацию. А потом затянули стандартную бесконечную бессмысленную переписку, после чего исследователь опубликовал таки информацию об уязвимости в своем блоге.
Остается заметить, что дырку
Microsoft таки оперативно прикрыли.
