Quelques mois après avoir été attaqué avec succès par un chercheur utilisant le principe de « confusion de dépendance », Microsoft a de nouveau été victime du même genre d'attaque, encore une fois réalisée par un chercheur.
À l'aide de cette vulnérabilité, le chercheur a réussi à obtenir des informations sur des serveurs appartenant à Microsoft et liés au jeu Halo.
Une vulnérabilité découverte en février dernier
En février, Alex Birsan avait mis en avant une vulnérabilité dans certains répertoires open-source en attaquant plus de 35 entreprises. Il a en effet découvert que lorsqu'un paquet utilise une dépendance privée, créée en interne, et qu'une dépendance publique portant le même nom existe, les gestionnaires de paquets vont automatiquement télécharger la dépendance publique dans le projet. Appelée « confusion de dépendance », cette vulnérabilité lui avait permis d'injecter son propre code dans les projets des plus grosses entreprises de technologie.
Les entreprises concernées, dont Microsoft, avaient été prévenues et le chercheur avait été récompensé par un bug bounty conséquent. Cependant, il semblerait que le problème ne soit toujours pas totalement réglé, puisque Ricardo Iramar dos Santos a réussi à réitérer l'exploit et à attaquer Microsoft de cette façon. En réalisant un audit sur SymphonyElectron, il a découvert que le paquet utilisait une dépendance nommée swift-search qui n'était pas présente sur npm et qui devait donc être privée.
Il a donc créé une version publique de la dépendance, en y ajoutant un script qui lui permettait de récupérer des informations, envoyées par la suite sur son serveur. Il cherchait à notamment obtenir le nom d'hôte du système, le nom d'utilisateur du compte, les variables d'environnement, le nom et la version du système d'exploitation, l'adresse IP publique du système et trois fichiers : /etc/hosts, /etc/passwd et /etc/shadow.
Des serveurs de Microsoft touchés par cette attaque
Quelques heures après avoir publié son paquet sur npm, le chercheur a reçu des réponses provenant de serveurs. Ceux-ci appartiennent à Microsoft et semblent être liés au jeu Halo. Dans ces réponses, le chercheur a obtenu plusieurs informations et a décidé de contacter l'entreprise pour la prévenir. Dans un premier temps, Microsoft lui a répondu que le problème ne les concernait pas et que les créateurs de SymphonyElectron devaient être prévenus. Par la suite, plus de détails lui ont été demandés, avec une promesse de le tenir au courant de la réponse des ingénieurs de l'entreprise. Le chercheur n'ayant depuis plus reçu de communications de la part de la firme, il a décidé de publier ses trouvailles.
L'un des porte-parole de Microsoft, contacté par BleepingComputer, a indiqué que l'enquête avait déterminé que le firme de Redmond avait déjà corrigé le problème. Cependant, le fait qu'un chercheur ait pu de nouveau exploiter cette vulnérabilité des mois après qu'elle a été rendue publique est loin d'être rassurant. Surtout quand on sait que dès mars, des groupes de hackers ont également utilisé cette méthode pour récupérer des fichiers sensibles au sein d'entreprises.
Source : BleepingComputer
