首页保安微软:企业正面临采用新攻击技术的风险

微软:企业正面临采用新攻击技术的风险

据一个人说 警告 由...发表 微软 在星期二,一个新的 技术 攻击称为“成瘾混乱“或者”替代攻击»(依赖混乱),可以用来 感染 在企业环境中创建应用程序的过程。

微软

攻击技术基于以下要素 包装经理, 公开 και 私人包装仓库 και 制造过程.

今天, 开发商 小型或大型公司都使用包管理器下载和导入库,然后使用 工具 创建最终应用程序。

该应用程序可以提供给公司的客户,也可以在公司内部以以下方式使用: 工具 为它的雇员。

但是,其中一些应用程序可能还包含专有或高度敏感的 代码,取决于它们的性质。 对于这些应用程序,公司通常使用私有库,这些库存储在公司网络内托管的私有(内部)包存储库中。

当公司开发人员创建应用程序时,他们会将这些私有库与从公共包门户(例如, NPM, 的PyPI, 的NuGet 或其他。

正如安全研究人员所发现的那样,存在一种称为“成瘾混乱”的新攻击技术,可以攻击大型公司中的这些混合应用程序开发环境。

研究人员 表明如果 攻击者 了解在创建公司应用程序的过程中使用的私有库的名称,可以在公共软件包存储库中注册这些名称,并上传包含恶意代码的同名公共库。

攻击

当开发人员在公司环境中创建应用程序,并且程序包管理器将公共存储库中托管的(恶意)库(而不是同名内部库)放在优先位置时,就会发生“依赖关系混乱”攻击。

研究小组设法发现了这一点 攻击,如果大型科技公司不小心泄露了各种内部库的名称,然后将这些相同的库记录在软件包存储库中,例如npm,RubyGems和PyPI。

研究人员说,使用这种方法,他们成功地将自己的代码加载到35家主要技术公司使用的应用程序中,例如 Apple,微软, 贝宝, Shopify, Netflix公司,Yelp, 尤伯杯 和其他人。

但是,除了npm,RubyGems和PyPI外,其他软件包管理器也容易受到攻击,包括 青蛙, Maven中央 και 的NuGet.

尽管研究小组表示已将所有受影响的公司和软件包资料库告知了微软,但微软似乎已更加重视此问题。

在周二发布安全团队调查报告之后,该公司还为开发人员管理NuGet软件包管理器 。NET发出警告,详细说明了“成瘾混乱”技术,Microsoft将该技术称为“替代攻击”。

一些建议是:

  • 报告私人信息流,而不是多个
  • 通过使用公共软件包存储库中的复选框来保护您的私人软件包
  • 使用客户端验证功能,例如版本固定和完整性验证

没有米娅https://www.secnews.gr
在一个不断尝试改变你的世界里,做你自己,是你最大的成就

实时新闻