Microsoft advierte a las empresas sobre una nueva técnica de ataque de ‘confusión de dependencia’

Microsoft publicó un informe técnico el martes sobre un nuevo tipo de ataque llamado «confusión de dependencia» o «ataque de sustitución» que puede usarse para envenenar el proceso de creación de aplicaciones dentro de los entornos corporativos.

Un investigador de seguridad logró violar los sistemas internos de más de 35 empresas importantes, incluidos los de Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla y Uber, y logró la ejecución remota de código.

Estas dependencias de paquetes externos, que se obtienen de los repositorios públicos durante un proceso de compilación, pueden representar una oportunidad de ataque cuando un adversario carga una versión superior de un módulo privado a la fuente pública, lo que hace que un cliente descargue automáticamente la versión falsa «más reciente» sin requiriendo alguna acción por parte del desarrollador.

Después de que el trabajo del equipo de investigación se hiciera público el martes, el fabricante del sistema operativo, que también ejecuta el administrador de paquetes NuGet para desarrolladores .NET, publicó un documento técnico que detalla la técnica de confusión de dependencias, que Microsoft llama «ataque de sustitución».

El documento técnico advierte a las empresas sobre las configuraciones de administrador de paquetes híbridos, donde se utilizan fuentes de bibliotecas públicas y privadas, pero también detalla una serie de mitigaciones que las empresas pueden aplicar para evitar confusiones de dependencia dentro de sus entornos de compilación.

Entre algunas de las recomendaciones enumeradas se encuentran:

  • Haga referencia a un feed privado, no a varios
  • Proteja sus paquetes privados utilizando ámbitos controlados en repositorios de paquetes públicos
  • Utilice funciones de verificación del lado del cliente, como la fijación de versiones y la verificación de integridad