Confusion Attack: Microsoft warnt vor einfacher Übernahme interner Pakete

Haben internes und externes Paket den gleichen Namen, lassen sich Trojaner einschleusen. Das wurde auch Microsoft zum Verhängnis.

Artikel veröffentlicht am ,
Die Paketverwaltung größerer Projekte kann schnell zu Problemen führen.
Die Paketverwaltung größerer Projekte kann schnell zu Problemen führen. (Bild: Nicolas Guyonnet/Hans Lucas via Reuters Connect)

Die ständig komplizierter werdende Software-Entwicklung mit vielen verschiedenen Paketen aus den Quellen der Programmiersprachen schafft offenbar auch die Möglichkeit immer neuer Angriffe. So warnt Microsoft nun vor einer neuen Methode, die Confusion Attack oder Substitution Attack genannt wird und vom Sicherheitsforscher Alex Birsan bereits erfolgreich getestet wurde. Birsan hat eigenen Angaben zufolge damit Schwachstellen in 35 großen IT-Unternehmen gefunden und ist erfolgreich in deren Infrastruktur vorgedrungen. Darunter waren Apple, Microsoft, Paypal, Netflix und viele andere.

Stellenmarkt
  1. Wissenschaftliche*r Mitarbeiter*in (m/w/d) - Softwareengineering
    Fachhochschule Südwestfalen, Soest
  2. IT-Systemadministrator (m/w/d)
    Plasser Robel Services GmbH, München
Detailsuche

Die Idee ist dabei recht einfach erklärt: In vielen Software-Projekten wird eine Mischung aus Paketabhängigkeiten genutzt, die entweder intern selbst gepflegt werden oder aus den öffentlichen Paketquellen stammen wie Maven, NPM, Nuget, Pypi oder auch Rubygems und Ähnlichen. Sind die Namen der internen Pakete bekannt, können Angreifer gleichnamige Pakete mit Schadsoftware in den öffentlichen Paketquellen anlegen. Je nach Projektkonfiguration und genutzten Werkzeugen kann es dann passieren, dass die Pakete mit Schadsoftware automatisiert als Abhängigkeiten installiert werden und somit Schadsoftware in das eigene Projekt und eigene Infrastruktur gelangt.

Erklärung und Tipps zur Abhilfe von Microsoft

Auf Grundlage dieser Erkenntnisse hat Microsoft nun ein White Paper veröffentlicht, in dem die Methode ausführlich für unterschiedliche Paketquellen beschrieben wird. Prinzipiell davon betroffen sein könnten auch weiter von Unternehmen selbst erstellte Quellen. So war der Angriff etwa auch auf Microsofts Azure Artifacts erfolgreich.

In dem White Paper beschreibt Microsoft außerdem eine Reihe von Maßnahmen gegen diesen Angriff. So könnten ausschließlich private Feeds genutzt werden, so dass die gleichnamigen Paketnamen auffallen würden. Ebenso lässt sich mit sogenannten Scopes gezielt festlegen, aus welcher Quelle einzelne Pakete genutzt werden sollen. Das soll die versehentliche Nutzung aus einer anderen Quelle verhindern. Letztlich könnten die Pakete auch verifiziert werden, indem einfach überprüft wird, ob das beim Build installierte Paket dem tatsächlich gewünschten entspricht.

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    28.-30.11.2022, Virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.10.2022, Virtuell
Weitere IT-Trainings

Bereits in der Vergangenheit haben ähnlich einfache Vorgänge und Angriffe gezeigt, wie anfällig die Nutzung zahlreicher externe Pakete sein kann. Dazu gehört etwa das sogenannte Typosquatting, in dem Pakete mit leicht ähnlichen Namen und schnell erstellten Tippfehlern als Schadsoftware in den Quellen hochgeladen werden. Ebenso ist schwer überprüfbar, ob Abhängigkeiten gepflegt werden und was passiert, wenn deren Betreuer abtreten. So sind schon beliebte Pakete verschwunden wie left-pad, aber auch Schadsoftware verteilt worden wie bei event-stream.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Meta
"Es ist euer Job, euch in Horizon Worlds zu verlieben!"

Amüsante Auszüge aus Memos von Meta zeigen, dass nicht mal die Entwickler von Horizon Worlds gerne in ihre virtuelle Welt eintauchen.

Meta: Es ist euer Job, euch in Horizon Worlds zu verlieben!
Artikel
  1. Corning: Moderne Glasfaser ist ihren Vorgängern nur wenig ähnlich
    Corning
    Moderne Glasfaser ist ihren Vorgängern nur wenig ähnlich

    Lichtwellenleiter sind eine alte Technik. Heute müssen sie für Glasfaser-Verkabelung in Gebäuden fast neu erfunden werden.

  2. Klage gegen Datenschutzaufsicht: Bundeskriminalamt weigert sich, Funkzellendaten zu löschen
    Klage gegen Datenschutzaufsicht
    Bundeskriminalamt weigert sich, Funkzellendaten zu löschen

    Das BKA will gesammelte Überwachungsdaten nicht löschen müssen. Deswegen klagt die Polizei gegen einen Bescheid des obersten Datenschützers.
    Eine Exklusivmeldung von Lennart Mühlenmeier

  3. Justizminister: Ausweiskopien sollen aus dem Handelsregister gelöscht werden
    Justizminister
    Ausweiskopien sollen aus dem Handelsregister gelöscht werden

    Im Online-Handelsregister lassen sich persönliche Daten wie Ausweiskopien oder Unterschriften einfach abrufen. Justizminister Marco Buschmann will das ändern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime-Filme leihen für je 0,99€ • iPhone 14 Plus jetzt erhältlich • Günstig wie nie: Gigabyte RTX 3090 Ti 1.099€, KF DDR5-5600 16GB 99,39€, Logitech Gaming-Maus 69,99€, MSI Curved 27" WQHD 165Hz 289€ • AMD Ryzen 7 5800X3D 429€ • NfS Unbound vorbestellbar • 3 Spiele für 49€ [Werbung]
    •  /