Microsoft опять попалась на «подстановочную атаку»

В марте нынешнего года исследователю безопасности удалось добавить поддельный тестовый пакет в официальный список последних релизов Microsoft Azure SDK. Как оказалось, с помощью простого трюка злоумышленник может выдать свой вредоносный пакет за часть пакета Azure SDK. Теперь Microsoft вновь попалась на «подстановочную атаку», но уже связанную с сервером видеоигры Halo.

Исследователь в области безопасности Рикардо Ирамар дус Сантус (Ricardo Iramar dos Santos) проводил аудит пакета SymphonyElectron с открытым исходным кодом на предмет уязвимостей и обнаружил необычную зависимость. Зависимость называлась swift-search, но такого пакета не было в общедоступном реестре npmjs.com.

Сантус зарегистрировал пакет с тем же именем в реестре npm, но внедрив в пакет собственный код. Через несколько часов после публикации пакета в реестре npm исследователь заметил поступление запросов от DNS-сервера Microsoft.

«DNS-запросы поступали от 13.66.137.90, который является DNS-сервером Microsoft, а затем POST-запрос от 51.141.173.203, который также является IP-адресом Microsoft (Великобритания)», — пояснил эксперт.

Исследователь утверждает, что доступ к 51.141.173.203 предоставил ему SSL-сертификат, в котором Microsoft была указана как организация, а в поле Common Name (CN) перечислено *.test.svc.halowaypoint.com. Домен halowaypoint.com относится к серии видеоигр Halo, выпущенную Microsoft Xbox Game Studios. Некоторые данные, возвращаемые с сервера Microsoft, включали логин пользователя системы, пути к средам разработки приложений, различные идентификаторы и пр.