Microsoft ostrzega firmy przed nową techniką atakowania systemów IT

Korporacja opublikowała w tym tygodniu dokument w którym ostrzega firmy przed zupełnie nową techniką atakowania systemów IT, nadając jej nazwę "dependency confusion" lub "substitution attack". Wykorzystując tę technikę hakerzy atakują środowiska korporacyjne, w których pracują deweloperzy projektujący różnego rodzaju firmowe aplikacje.

Malware

Deweloperzy używają wtedy do importowania bibliotek menedżerów pakietów, składując je następnie w środowisku, w którym projektują aplikacje. Wykorzystują też wtedy często prywatne biblioteki, które przechowują w wewnętrznych repozytoriach hostowanych przez firmowe serwery.

Już podczas tworzenia aplikacji deweloperzy często mieszają biblioteki prywatne z bibliotekami publicznymi, które pobierają z publicznych portali pakietów, takich jak npm, PyPI, NuGet lub inne. Atak typu „dependency confusion" wybiera sobie na ofiarę takie właśnie środowiska deweloperskie.

Zobacz również:

  • 14 rzeczy, które warto wiedzieć o zarządzaniu przechowywaniem danych
  • Będą dwa nowe certyfikaty Windows Server
  • Ostrzeżenie przed hakerami próbującymi włamywać się do banku PKO BP

Gdy haker pozna nazwę prywatnej biblioteki, używanej przez projektowaną w firmie aplikację, może ją wykorzystać do zarejestrowania własnej biblioteki zawierającej szkodliwy kod, składując ją w publicznym repozytorium pakietów. Na tym właśnie polega atak „substitution”, czyli przez „podstawienie”.

Informatycy Microsoftu odkryli to badając sytuacje, w których niektóre firmy przypadkowo ujawniły nazwy swoich wewnętrznych bibliotek, a następnie zarejestrowały je w publicznych repozytoriach pakietów, takich jak npm, RubyGems czy PyPI. Okazała się wtedy, że w repozytoriach takich nie znajdują się wcale oryginalne biblioteki, a spreparowane przez hakerów, zawierające oczywiście różnego rodzaju malware.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200