Confusion Attack: Microsoft warnt vor einfacher Übernahme interner Pakete

Haben internes und externes Paket den gleichen Namen, lassen sich Trojaner einschleusen. Das wurde auch Microsoft zum Verhängnis.

Artikel veröffentlicht am ,
Die Paketverwaltung größerer Projekte kann schnell zu Problemen führen.
Die Paketverwaltung größerer Projekte kann schnell zu Problemen führen. (Bild: Nicolas Guyonnet/Hans Lucas via Reuters Connect)

Die ständig komplizierter werdende Software-Entwicklung mit vielen verschiedenen Paketen aus den Quellen der Programmiersprachen schafft offenbar auch die Möglichkeit immer neuer Angriffe. So warnt Microsoft nun vor einer neuen Methode, die Confusion Attack oder Substitution Attack genannt wird und vom Sicherheitsforscher Alex Birsan bereits erfolgreich getestet wurde. Birsan hat eigenen Angaben zufolge damit Schwachstellen in 35 großen IT-Unternehmen gefunden und ist erfolgreich in deren Infrastruktur vorgedrungen. Darunter waren Apple, Microsoft, Paypal, Netflix und viele andere.

Stellenmarkt
  1. Full Stack Developer (m/w/d) im Bereich Java-Entwicklung
    SG Service IT GmbH, Osnabrück
  2. Bereichs-Informationssicherh- eitsbeauftragte*r (m/w/d) in der Stabstelle Sicherheit der Feuerwehr ... (m/w/d)
    Stadt Köln Berufsfeuerwehr, Amt für Feuerschutz, Rettungsdienst und Bevölkerungsschutz, Köln
Detailsuche

Die Idee ist dabei recht einfach erklärt: In vielen Software-Projekten wird eine Mischung aus Paketabhängigkeiten genutzt, die entweder intern selbst gepflegt werden oder aus den öffentlichen Paketquellen stammen wie Maven, NPM, Nuget, Pypi oder auch Rubygems und Ähnlichen. Sind die Namen der internen Pakete bekannt, können Angreifer gleichnamige Pakete mit Schadsoftware in den öffentlichen Paketquellen anlegen. Je nach Projektkonfiguration und genutzten Werkzeugen kann es dann passieren, dass die Pakete mit Schadsoftware automatisiert als Abhängigkeiten installiert werden und somit Schadsoftware in das eigene Projekt und eigene Infrastruktur gelangt.

Erklärung und Tipps zur Abhilfe von Microsoft

Auf Grundlage dieser Erkenntnisse hat Microsoft nun ein White Paper veröffentlicht, in dem die Methode ausführlich für unterschiedliche Paketquellen beschrieben wird. Prinzipiell davon betroffen sein könnten auch weiter von Unternehmen selbst erstellte Quellen. So war der Angriff etwa auch auf Microsofts Azure Artifacts erfolgreich.

In dem White Paper beschreibt Microsoft außerdem eine Reihe von Maßnahmen gegen diesen Angriff. So könnten ausschließlich private Feeds genutzt werden, so dass die gleichnamigen Paketnamen auffallen würden. Ebenso lässt sich mit sogenannten Scopes gezielt festlegen, aus welcher Quelle einzelne Pakete genutzt werden sollen. Das soll die versehentliche Nutzung aus einer anderen Quelle verhindern. Letztlich könnten die Pakete auch verifiziert werden, indem einfach überprüft wird, ob das beim Build installierte Paket dem tatsächlich gewünschten entspricht.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Bereits in der Vergangenheit haben ähnlich einfache Vorgänge und Angriffe gezeigt, wie anfällig die Nutzung zahlreicher externe Pakete sein kann. Dazu gehört etwa das sogenannte Typosquatting, in dem Pakete mit leicht ähnlichen Namen und schnell erstellten Tippfehlern als Schadsoftware in den Quellen hochgeladen werden. Ebenso ist schwer überprüfbar, ob Abhängigkeiten gepflegt werden und was passiert, wenn deren Betreuer abtreten. So sind schon beliebte Pakete verschwunden wie left-pad, aber auch Schadsoftware verteilt worden wie bei event-stream.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
20 Jahre Windows XP
Der letzte XP-Fan

Windows XP wird 20 Jahre alt - und nur wenige nutzen es noch täglich. Golem.de hat einen dieser Anwender besucht.
Ein Interview von Martin Wolf

20 Jahre Windows XP: Der letzte XP-Fan
Artikel
  1. Age of Empires 4 im Test: Im Galopp durch die Geschichte
    Age of Empires 4 im Test
    Im Galopp durch die Geschichte

    Acht Völker aus aller Welt: Das Echtzeit-Strategiespiel Age of Empires 4 schickt uns auf Windows-PC in spannende Kämpfe in aller Welt.
    Von Peter Steinlechner

  2. Microsoft: Xbox Series X mit 4K-Dashboard und Nachtmodus
    Microsoft
    Xbox Series X mit 4K-Dashboard und Nachtmodus

    Das 1080p-Menü der Xbox Series X hat immer wieder für Spott gesorgt - nun hat Microsoft per Firmware eine 4K-Auflösung nachgeliefert.

  3. Truth Social: Trumps soziales Netzwerk nicht mehr im App Store
    Truth Social
    Trumps soziales Netzwerk nicht mehr im App Store

    Die Schwierigkeiten für Trumps soziales Netzwerk halten offenbar weiter an. Eine Trump-Aktie hat aber massiv an Wert zugelegt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional günstiger • Punkte sammeln bei MM für Club-Mitglieder: 1.000 Punkte geschenkt • LG OLED55B19LA 120Hz 965€ • Alternate (u. a. Apacer 1TB SATA-SSD 86,90€ & Team Group 1TB PCIe-4.0-SSD 159,90€) • Echo Show 8 (1. Gen.) 64,99€ • Smart Home von Eufy günstiger [Werbung]
    •  /