Ein weiterer Tag, eine weitere Zugriffstoken-basierte Datenbankverletzung.
Dieses Mal ist Microsoft das Opfer (und in gewisser Weise natürlich auch der Schuldige). GitHub Geschäft.
GitHub behauptet, dass es den Bruch entdeckt schnell, am Tag nachdem es passiert war, aber bis dahin war der Schaden angerichtet:
Am 6. Dezember 2022 werden Repositories aus unserer
atom
,desktop
, und andere veraltete Organisationen im Besitz von GitHub wurden durch ein kompromittiertes Personal Access Token (PAT) geklont, das einem Computerkonto zugeordnet ist. Nach der Entdeckung am 7. Dezember 2022 widerrief unser Team sofort die kompromittierten Anmeldeinformationen und begann mit der Untersuchung möglicher Auswirkungen auf Kunden und interne Systeme.
Einfach ausgedrückt: Jemand hat einen vorgenerierten Zugangscode verwendet, der von wer-weiß-wo erworben wurde, um den Inhalt verschiedener Quellcode-Repositories auszuspähen, die zu GitHub selbst gehörten.
Wir vermuten, dass GitHub seinen eigenen Code auf GitHub speichert (es wäre so etwas wie ein Misstrauensvotum, wenn es das nicht täte!), aber es war nicht das zugrunde liegende GitHub-Netzwerk oder die Speicherinfrastruktur, die verletzt wurde, sondern nur einige von GitHubs eigenen Projekten, die dort gespeichert wurden.
Brückenköpfe und seitliche Bewegung
Stellen Sie sich diesen Verstoß wie einen Gauner vor, der an das Passwort Ihres Outlook-E-Mail-Archivs gelangt und die Nachrichten des letzten Monats herunterlädt.
Zu dem Zeitpunkt, als Sie es bemerkten, wäre Ihre eigene E-Mail bereits weg, aber weder Outlook selbst noch die Konten anderer Benutzer wären direkt betroffen.
Beachten Sie jedoch unsere sorgfältige Verwendung des Wortes „direkt“ im vorherigen Satz, da die Kompromittierung eines Kontos auf einem System zu Dominoeffekten auf andere Benutzer oder sogar auf das System als Ganzes führen kann.
Beispielsweise enthält Ihr Firmen-E-Mail-Konto mit ziemlicher Sicherheit Korrespondenz mit und von Ihren Kollegen, Ihrer IT-Abteilung und anderen Unternehmen.
In diesen E-Mails haben Sie möglicherweise vertrauliche Informationen über Kontonamen, Systemdetails, Geschäftspläne, Anmeldeinformationen und mehr preisgegeben.
Die Verwendung von Angriffsinformationen von einem Teil eines Systems, um sich in andere Teile desselben oder anderer Systeme zu schlängeln, wird im Fachjargon als bezeichnet seitliche Bewegung, wo Cyberkriminelle zunächst einen sogenannten „Brückenkopf der Kompromittierung“ einrichten und dann versuchen, von dort aus ihren Zugriff zu erweitern.
Was befindet sich überhaupt in Ihren Repositories?
Im Fall von gestohlenen Quellcode-Datenbanken, egal ob sie auf GitHub oder anderswo gespeichert sind, besteht immer das Risiko, dass ein privates Repository Zugangsdaten zu anderen Systemen enthält oder dass Cyberkriminelle an Codesignaturzertifikate gelangen, die beim eigentlichen Erstellen der Datenbank verwendet werden Software zur öffentlichen Veröffentlichung.
Tatsächlich kann diese Art von Datenlecks sogar ein Problem für öffentliche Repositories darstellen, einschließlich Open-Source-Quellcode-Projekten, die nicht geheim sind und von jedem heruntergeladen werden sollen.
Open-Source-Datenlecks können auftreten, wenn Entwickler versehentlich private Dateien aus ihrem Entwicklungsnetzwerk in das öffentliche Codepaket bündeln, das sie schließlich für den Zugriff aller hochladen.
Diese Art von Fehler kann zu einem sehr öffentlichen (und sehr öffentlich durchsuchbaren) Leck privater Konfigurationsdateien privater Server führen Zugangsschlüssel, persönlich Zugriffstoken und Passwörter, und sogar vollständig Verzeichnisbäume die einfach zur falschen Zeit am falschen Ort waren.
Zum Guten oder zum Schlechten hat GitHub fast zwei Monate gebraucht, um herauszufinden, wie viel Zeug ihre Angreifer in diesem Fall erbeutet haben, aber die Antworten sind jetzt draußen, und es sieht so aus, als ob:
- Die Gauner erbeuteten Code-Signing-Zertifikate für die Produkte GitHub Desktop und Atom. Theoretisch bedeutet dies, dass sie betrügerische Software mit einem offiziellen Github-Gütesiegel darauf veröffentlichen könnten. Beachten Sie, dass Sie nicht bereits ein bestehender Benutzer eines dieser spezifischen Produkte sein müssten, um getäuscht zu werden – die Kriminellen könnten GitHubs Imprimatur auf fast jede Software geben, die sie wollten.
- Die gestohlenen Signaturzertifikate waren verschlüsselt, und die Gauner kamen offenbar nicht an die Passwörter. Das bedeutet in der Praxis, dass die Gauner, obwohl sie die Zertifikate haben, sie nicht verwenden können, bis sie diese Passwörter knacken.
Die mildernden Faktoren
Das klingt nach ziemlich guten Nachrichten nach einem schlechten Start, und was die Nachrichten noch besser macht, ist:
- Nur drei der Zertifikate waren am Tag des Diebstahls noch nicht abgelaufen. Sie können ein abgelaufenes Zertifikat nicht zum Signieren von neuem Code verwenden, selbst wenn Sie das Kennwort zum Entschlüsseln des Zertifikats haben.
- Ein gestohlenes Zertifikat ist zwischenzeitlich am 2023 abgelaufen. Dieses Zertifikat diente zum Signieren von Windows-Programmen.
- Ein zweites gestohlenes Zertifikat läuft morgen, am 2023 ab. Das ist auch ein Signaturzertifikat für Windows-Software.
- Das letzte Zertifikat läuft erst 2027 aus. Dieser dient zum Signieren von Apple-Apps, so GitHub, dass dies der Fall ist „Zusammenarbeit mit Apple zur Überwachung von […] neu signierten Apps.“ Beachten Sie, dass die Gauner immer noch zuerst das Zertifikatspasswort knacken müssten.
- Alle betroffenen Zertifikate werden am 2023 widerrufen. Widerrufene Zertifikate werden einer speziellen Checkliste hinzugefügt, die Betriebssysteme (zusammen mit Apps wie Browsern) verwenden können, um Inhalte zu blockieren, für die Zertifikate verbürgt sind, denen nicht mehr vertraut werden sollte.
- Laut GitHub wurden keine unbefugten Änderungen an den geplünderten Repositories vorgenommen. Es sieht so aus, als wäre dies ein „Nur-Lese“-Kompromiss, bei dem die Angreifer sehen, aber nicht berühren konnten.
Was ist zu tun?
Die gute Nachricht ist, dass Sie nichts sofort tun müssen, wenn Sie kein GitHub Desktop- oder Atom-Benutzer sind.
Wenn Sie GitHub Desktop, müssen Sie vor morgen ein Upgrade durchführen, um sicherzustellen, dass Sie alle Instanzen der App ersetzt haben, die mit einem Zertifikat signiert wurden, das bald als fehlerhaft gekennzeichnet wird.
Wenn Sie noch verwenden Atom (das im Juni 2022 eingestellt wurde und sein Leben als offizielles GitHub-Softwareprojekt am 2022 beendete), werden Sie etwas seltsamerweise tun müssen degradieren zu einer etwas älteren Version, die nicht mit einem jetzt gestohlenen Zertifikat signiert wurde.
Da Atom bereits das Ende seiner offiziellen Lebensdauer erreicht hat und keine Sicherheitsupdates mehr erhält, sollten Sie es wahrscheinlich trotzdem ersetzen. (Der allseits beliebte Visual Studio Code, der ebenfalls zu Microsoft gehört, scheint der Hauptgrund dafür zu sein, dass Atom überhaupt eingestellt wurde.)
Wenn Sie selbst Entwickler oder Software-Manager sind …
…warum nutzen Sie dies nicht als Anreiz, um nachzusehen:
- Wer hat Zugriff auf welche Teile unseres Entwicklungsnetzwerks? Gibt es insbesondere bei Legacy- oder End-of-Life-Projekten Legacy-Benutzer, die noch Zugriffsrechte haben, die sie nicht mehr benötigen?
- Wie sorgfältig wird der Zugriff auf unser Code-Repository gesperrt? Besitzen Benutzer Kennwörter oder Zugriffstoken, die leicht gestohlen oder missbraucht werden könnten, wenn ihre eigenen Computer kompromittiert würden?
- Hat jemand Dateien hochgeladen, die dort nicht sein sollten? Windows kann selbst erfahrene Benutzer irreführen, indem es die Erweiterungen am Ende von Dateinamen unterdrückt, sodass Sie nicht immer sicher sind, welche Datei welche ist. Linux- und Unix-Systeme, einschließlich macOS, verstecken automatisch alle Dateien und Verzeichnisse, die mit einem Punkt (Punkt) beginnen, vor der Anzeige (aber nicht vor der Verwendung!).
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/01/31/github-code-signing-certificates-stolen-but-will-be-revoked-this-week/
- 1
- 2022
- 7
- a
- Fähig
- Über uns
- Absolute
- Zugang
- Konto
- Trading Konten
- erworben
- berührt das Schneidwerkzeug
- hinzugefügt
- Nach der
- gegen
- Alle
- bereits
- immer
- machen
- Ein anderer
- Antworten
- jemand
- App
- Apple
- Genehmigung
- Apps
- Archiv
- damit verbundenen
- Atom
- Attacke
- Autor
- Auto
- Im Prinzip so, wie Sie es von Google Maps kennen.
- background-image
- Badewanne
- weil
- Bevor
- begann
- Besser
- Blockieren
- Grenze
- Boden
- Verletzung
- Browsern
- Building
- bündeln
- Geschäft
- rufen Sie uns an!
- vorsichtig
- vorsichtig
- Häuser
- Center
- sicherlich
- Bescheinigung
- Zertifikate
- Änderungen
- Charakter
- aus der Ferne überprüfen
- aus aller Welt
- Code
- Kopien
- Farbe
- Unternehmen
- Kompromiss
- Kompromittiert
- Computer
- Vertrauen
- Konfiguration
- enthält
- Inhalt
- Inhalt
- Unternehmen
- könnte
- Kurs
- Abdeckung
- Riss
- Referenzen
- Criminals
- Crooks
- Kunden
- Cyber-Kriminelle
- technische Daten
- Datenlecks
- Datenbase
- Datenbanken
- Tag
- Dezember
- Entschlüsseln
- Abteilung
- Desktop
- Details
- erkannt
- Entwickler:in / Unternehmen
- Entwickler
- Entwicklung
- Direkt
- Verzeichnisse
- Display
- Nicht
- DOT
- nach unten
- leicht
- Effekten
- entweder
- anderswo
- E-Mails
- verschlüsselt
- gewährleisten
- Ganz
- insbesondere
- etablieren
- Sogar
- jedermann
- Beispiel
- vorhandenen
- erfahrensten
- erweitern
- Erweiterungen
- Abbildung
- Reichen Sie das
- Mappen
- Vorname
- markiert
- für
- bekommen
- bekommen
- GitHub
- ABSICHT
- Go
- gut
- passieren
- passiert
- Höhe
- Verbergen
- schweben
- Ultraschall
- aber
- HTTPS
- sofort
- Impact der HXNUMXO Observatorien
- in
- Incentive
- das
- Einschließlich
- Information
- Infrastruktur
- Intelligenz
- intern
- IT
- selbst
- Jargon
- bekannt
- Nachname
- führen
- Leck
- Legacy
- Lebensdauer
- linux
- verschlossen
- länger
- aussehen
- SIEHT AUS
- Maschine
- MacOS
- gemacht
- MACHT
- Manager
- Marge
- max-width
- Mittel
- Nachrichten
- Microsoft
- könnte
- Fehler
- mildernd
- Überwachen
- Monat
- mehr
- Namen
- fast
- Need
- Weder
- Netzwerk
- Neu
- News
- normal
- offiziell
- EINEM
- Open-Source-
- die
- Betriebssysteme
- Organisationen
- Andere
- Outlook
- besitzen
- Paket
- Teil
- Teile
- Passwort
- Passwörter
- Alexander
- Zeit
- persönliche
- Ort
- Pläne
- Plato
- Datenintelligenz von Plato
- PlatoData
- Position
- BLOG-POSTS
- Potenzial
- Praxis
- ziemlich
- früher
- primär
- privat
- wahrscheinlich
- Aufgabenstellung:
- Produkte
- Programme
- Projekt
- Projekte
- Öffentlichkeit
- öffentlich
- veröffentlichen
- setzen
- schnell
- erreicht
- Grund
- Release
- ersetzen
- ersetzt
- Quelle
- Revealed
- Risiko
- gleich
- Zweite
- Die Geheime
- Sicherheitdienst
- Sicherheitsupdates
- scheint
- Satz
- sollte
- Schild
- unterzeichnet
- Unterzeichnung
- einfach
- So
- Software
- solide
- einige
- Jemand,
- etwas
- etwas
- Quelle
- Quellcode
- besondere
- spezifisch
- Anfang
- Immer noch
- gestohlen
- Lagerung
- gelagert
- Studio Adressen
- so
- vermutet
- SVG
- System
- Systeme und Techniken
- Team
- Das
- ihr
- Dort.
- diese Woche
- nach drei
- Zeit
- zu
- Zeichen
- Tokens
- morgen
- Top
- aufnehmen
- Übergang
- transparent
- vertraut
- Letztlich
- zugrunde liegen,
- Unix
- Updates
- mehr Stunden
- hochgeladen
- URL
- -
- Mitglied
- Nutzer
- verschiedene
- Version
- Opfer
- Anzeigen
- Abstimmung
- wollte
- Wege
- Woche
- Was
- ob
- welche
- WHO
- werden wir
- Fenster
- Word
- wert
- würde
- Falsch
- Ihr
- Zephyrnet