Git-Rotate: Neues Tool errät fremde Zugangsdaten via Github Actions

Der Sicherheitsforscher Daniel Underhay von Aura Research Division hat offenbar einen Weg gefunden, Github Actions für Password-Spraying-Angriffe zu missbrauchen. Das Automatisierungstool liefert dafür wohl optimale Bedingungen: Für öffentliche Repositories sei es kostenlos nutzbar und hinsichtlich der Ausführungszeit und des Speicherplatzes gebe es keinerlei Einschränkungen, erklärt Underhay in einem Blogbeitrag(öffnet im neuen Fenster) .

Obendrein würden Github Actions auf virtuellen Maschinen (VMs) ausgeführt, denen jeweils per Zufall eine IP-Adresse aus einem größeren Adresspool zugewiesen werde. Eine aktuelle Liste der verfügbaren Adressbereiche lässt sich über eine öffentliche API abrufen(öffnet im neuen Fenster) . Darüber hinaus verfüge Githubs Automatisierungstool über eine gut dokumentierte Rest-API, so Underhay.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Microsoft 365 Zero Trust: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux Administration: Betriebsbereitstellung - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

zum Kurs

Password Spraying umgeht gängige Schutzmaßnahmen

Durch Password-Spraying-Angriffe verschaffen sich Angreifer einen unbefugten Zugriff auf Cloudinfrastrukturen oder Webanwendungen. Dafür versuchen sie, sich mit einer kleinen Liste gängiger Passwörter und einer großen Anzahl verschiedener Nutzernamen automatisiert bei verschiedenen Anmeldeportalen einzuloggen. Die Hackergruppe Midnight Blizzard setzte diese Angriffstechnik zuletzt vermehrt ein, um Systeme von Microsoft zu infiltrieren .

Schutzmaßnahmen wie automatische Kontosperrungen durch zu viele fehlgeschlagene Anmeldeversuche werden dabei durch die Verteilung des Angriffs auf mehrere Nutzerkonten und Systeme gezielt umgangen. Gleiches gilt für IP-basierte Blockaden, die der Angreifer dadurch aushebelt, dass er den Angriff von verschiedenen IP-Adressen aus ausführt.

Einen effektiven Schutz vor Password Spraying bietet die Erstellung sicherer Passwörter. Ein Leitfaden dafür ist beispielsweise auf der Webseite des BSI zu finden(öffnet im neuen Fenster) .

Forscher veröffentlicht Password-Spraying-Tool

Mit Git-Rotate hat Underhay ein Python-basiertes Tool entwickelt, mit dem sich Password-Spraying-Angriffe über Github Actions ausführen lassen. Die einzelnen Komponenten seien derzeit so konfiguriert, dass sie das Login-Portal von Microsoft anvisierten, erklärt der Forscher im Github-Repository, in dem er das Tool veröffentlicht hat(öffnet im neuen Fenster) . Wer den Angriff gegen andere Ziele testen wolle, müsse entsprechende Anpassungen vornehmen.

Der Forscher warnt jedoch zugleich, Github nehme Missbrauch und Spam im Zusammenhang mit Actions sehr ernst. Ein spezielles Team verfolge solche Operationen gezielt. Für Kontosperrungen aufgrund von Verstößen gegen die Nutzungsbedingungen von Github übernehme Underhay keine Haftung. Eine kurze Demonstration des Tools hat der Forscher auf Youtube veröffentlicht(öffnet im neuen Fenster) .

• Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.