Falha grave permite invadir Microsoft, Apple, Tesla e mais 30 empresas

Esta terça-feira (10) é um dia de Patch Tuesday, quando a Microsoft (e outras companhias) liberam importantes atualizações de segurança. O pacote de hoje corrige 56 vulnerabilidades em softwares da empresa. No meio delas está uma vulnerabilidade que também foi encontrada em sistemas de companhias como Apple, Netflix e Tesla.

  • Novo vazamento expõe 100 milhões de números de celular no Brasil
  • CD Projekt Red foi invadida por ransomware que atacou Cemig no Brasil
Cadeado sobre notebook (imagem ilustrativa por: TheDigitalWay/Pixabay)

Cadeado sobre notebook (imagem ilustrativa por: TheDigitalWay/Pixabay)

Confusão de dependência

O problema em questão foi identificado por um pesquisador chamado Alex Birsan, que o batizou de “confusão de dependência”. Ele explica que desenvolvedores (e profissionais de TI em geral, presumivelmente) estão acostumados a instalar dependências para seus projetos a partir de comandos simples, como:

pip install package_name

Quando executamos instruções como essa, confiamos cegamente que os pacotes baixados são legítimos e seguros. O problema é que, em muitos casos, os pacotes estão disponíveis em repositórios públicos, que podem receber conjuntos de códigos de qualquer pessoa.

Entre esses repositórios estão o npm (para Node), o PyPi (para Python) e o RubyGems (para Ruby). Birsan ressalta que nenhum repositório público consegue garantir que os pacotes disponibilizados neles estão livres de código malicioso.

Sob determinadas circunstâncias, invasores podem batizar códigos duvidosos com nomes parecidos com os de pacotes populares ou, em casos extremos, explorar técnicas que comprometem códigos legítimos, por exemplo.

Em um experimento realizado no ano passado, Birsan acessou um código usado internamente pelo PayPal que chamava pacotes de repositórios públicos e privados. Com o seu trabalho, ele descobriu que alguns pacotes requisitados no npm não estavam disponíveis nesse repositório, mas em servidores internos.

Lembre-se, o npm é público. Como base nisso, o pesquisador se perguntou: se ele enviasse para esse repositório pacotes “maliciosos” com os mesmos nomes das dependências públicas faltantes no projeto do PayPal, eles seriam acionados?

Ele constatou que sim, pois, por padrão, o pacote público tem prioridade: o pacote armazenado em um servidor interno só é requisitado se não for encontrado no externo. Da mesma forma, ele descobriu que o problema também existia em projetos de mais de 30 empresas, entre elas, Apple, Microsoft, Netflix, Tesla e Uber.

Microsoft pagou recompensa de US$ 40 mil

Alex Birsan notificou as empresas afetadas sobre o problema. Esse foi um trabalho colaborativo, não uma extorsão: os códigos usados por ele não tinham nada de malicioso, apenas serviam para comprovar a vulnerabilidade.

Desde então, o pesquisador vem sendo recompensado por seu trabalho. A Apple, por exemplo, pagou US$ 30 mil a ele. Por sua vez, a Microsoft desembolsou o maior valor (até agora): US$ 40 mil. No caso dela, o problema colocava em risco projetos baseados no serviço de repositórios Azure Artifacts. Como informado no início do texto, a falha foi corrigida.

Ao todo, Birsan já faturou mais de US$ 130 mil dólares com a descoberta.

Com informações: Ars Technica.

Falha grave permite invadir Microsoft, Apple, Tesla e mais 30 empresas




Fonte: https://tecnoblog.net/410876/falha-grave-repositorios-microsoft-apple-texta/
Falha grave permite invadir Microsoft, Apple, Tesla e mais 30 empresas Falha grave permite invadir Microsoft, Apple, Tesla e mais 30 empresas Reviewed by MeuSPY on fevereiro 10, 2021 Rating: 5

Nenhum comentário:

Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.

Tecnologia do Blogger.