Microsoft de nouveau victime d’une "confusion de dépendance"

29 juin 2021 à 16h45
4
Microsoft Logo © JPstock / Shutterstock.com
© Microsoft

Quelques mois après avoir été attaqué avec succès par un chercheur utilisant le principe de « confusion de dépendance », Microsoft a de nouveau été victime du même genre d'attaque, encore une fois réalisée par un chercheur.

À l'aide de cette vulnérabilité, le chercheur a réussi à obtenir des informations sur des serveurs appartenant à Microsoft et liés au jeu Halo.

Une vulnérabilité découverte en février dernier

En février, Alex Birsan avait mis en avant une vulnérabilité dans certains répertoires open-source en attaquant plus de 35 entreprises. Il a en effet découvert que lorsqu'un paquet utilise une dépendance privée, créée en interne, et qu'une dépendance publique portant le même nom existe, les gestionnaires de paquets vont automatiquement télécharger la dépendance publique dans le projet. Appelée « confusion de dépendance », cette vulnérabilité lui avait permis d'injecter son propre code dans les projets des plus grosses entreprises de technologie.

Les entreprises concernées, dont Microsoft, avaient été prévenues et le chercheur avait été récompensé par un bug bounty conséquent. Cependant, il semblerait que le problème ne soit toujours pas totalement réglé, puisque Ricardo Iramar dos Santos a réussi à réitérer l'exploit et à attaquer Microsoft de cette façon. En réalisant un audit sur SymphonyElectron, il a découvert que le paquet utilisait une dépendance nommée swift-search qui n'était pas présente sur npm et qui devait donc être privée.

Il a donc créé une version publique de la dépendance, en y ajoutant un script qui lui permettait de récupérer des informations, envoyées par la suite sur son serveur. Il cherchait à notamment obtenir le nom d'hôte du système, le nom d'utilisateur du compte, les variables d'environnement, le nom et la version du système d'exploitation, l'adresse IP publique du système et trois fichiers : /etc/hosts, /etc/passwd et /etc/shadow.

Des serveurs de Microsoft touchés par cette attaque

Quelques heures après avoir publié son paquet sur npm, le chercheur a reçu des réponses provenant de serveurs. Ceux-ci appartiennent à Microsoft et semblent être liés au jeu Halo. Dans ces réponses, le chercheur a obtenu plusieurs informations et a décidé de contacter l'entreprise pour la prévenir. Dans un premier temps, Microsoft lui a répondu que le problème ne les concernait pas et que les créateurs de SymphonyElectron devaient être prévenus. Par la suite, plus de détails lui ont été demandés, avec une promesse de le tenir au courant de la réponse des ingénieurs de l'entreprise. Le chercheur n'ayant depuis plus reçu de communications de la part de la firme, il a décidé de publier ses trouvailles.

L'un des porte-parole de Microsoft, contacté par BleepingComputer, a indiqué que l'enquête avait déterminé que le firme de Redmond avait déjà corrigé le problème. Cependant, le fait qu'un chercheur ait pu de nouveau exploiter cette vulnérabilité des mois après qu'elle a été rendue publique est loin d'être rassurant. Surtout quand on sait que dès mars, des groupes de hackers ont également utilisé cette méthode pour récupérer des fichiers sensibles au sein d'entreprises.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
Voir tous les messages sur le forum

Lectures liées

PunkSpider, le moteur de recherche de vulnérabilités, refait surface
Un malware récupérant les mots de passe Windows se propage via les pubs des moteurs de recherche
Derrière une jeune femme, Marcella Flores, se cachaient des hackers affiliés à l'Iran
Bon plan antivirus : protégez votre vie numérique avec cette offre de Bitdefender à prix jamais vu !
Pourquoi Apple est-elle impuissante face à des logiciels tels que Pegasus ?
Cyberattaque : la France est dans le viseur de hackers chinois
Profitez des offres VPN à prix bradé du moment
Sauvegarde et anticipation : les clés pour se protéger des ransomwares cet été (Vidéo)
Projet Pegasus : pour Edward Snowden, il faut bannir tous les logiciels d'espionnage
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Haut de page