另一天,另一个基于访问令牌的数据库泄露。
这一次,受害者(当然在某些方面也是罪魁祸首)是微软的 GitHub上 商业。
GitHub 声称它 发现漏洞 很快,事情发生后的第二天,但到那时损害已经造成:
6 年 2022 月 XNUMX 日,我们的存储库
atom
,desktop
和其他已弃用的 GitHub 拥有的组织被与机器帐户关联的受损个人访问令牌 (PAT) 克隆。 一旦在 7 年 2022 月 XNUMX 日被检测到,我们的团队立即撤销了受损凭证,并开始调查对客户和内部系统的潜在影响。
简而言之:有人使用从不知何处获取的预生成访问代码来窃取属于 GitHub 本身的各种源代码存储库的内容。
我们猜测 GitHub 在 GitHub 上保留了自己的代码(如果不这样做,这将是对自己的不信任投票!),但被破坏的不是底层 GitHub 网络或存储基础设施,只是一些 GitHub 自己的项目存储在那里。
滩头阵地和横向移动
将此漏洞想象成一个骗子获取您的 Outlook 电子邮件存档密码并下载您上个月的邮件。
当您注意到时,您自己的电子邮件已经消失,但 Outlook 本身和其他用户的帐户都不会受到直接影响。
但是请注意,我们在上一句中谨慎使用了“直接”一词,因为系统上一个帐户的泄露可能会导致对其他用户甚至整个系统的连锁反应。
例如,您的公司电子邮件帐户几乎肯定包含与您的同事、IT 部门和其他公司之间的往来信件。
在这些电子邮件中,您可能泄露了有关帐户名称、系统详细信息、业务计划、登录凭据等的机密信息。
使用来自系统的一部分的攻击情报进入同一系统或其他系统的其他部分在行话中被称为 横向运动,网络犯罪分子首先在这里建立您可能称之为“妥协滩头阵地”的地方,然后尝试从那里扩展他们的访问权限。
无论如何,您的存储库中有什么?
在源代码数据库被盗的情况下,无论它们存储在 GitHub 还是其他地方,始终存在私人存储库可能包含对其他系统的访问凭证的风险,或者让网络犯罪分子获得实际构建时使用的代码签名证书公开发布的软件。
事实上,这种数据泄漏甚至可能成为公共存储库的问题,包括非秘密的开源源代码项目,任何人都应该可以下载。
当开发人员无意中将其开发网络中的私有文件捆绑到他们最终上传以供所有人访问的公共代码包中时,就会发生开源数据泄漏。
这种错误会导致私有配置文件、私有服务器的非常公开(并且非常公开可搜索)的泄漏 快捷键,个人 访问令牌 和密码,甚至整个 目录树 那只是在错误的时间出现在了错误的地方。
不管是好是坏,GitHub 花了将近两个月的时间才弄清楚他们的攻击者在这种情况下掌握了多少东西,但现在答案已经出来了,看起来好像:
- 骗子获得了 GitHub Desktop 和 Atom 产品的代码签名证书。 这意味着,从理论上讲,他们可以发布带有 Github 官方批准印章的流氓软件。 请注意,您不需要成为这些特定产品中任何一种的现有用户就会被愚弄——犯罪分子几乎可以为他们想要的任何软件提供 GitHub 的认可。
- 被盗的签名证书是加密的,骗子显然没有得到密码。 这意味着,在实践中,即使骗子拥有证书,他们也无法使用这些证书,除非他们破解了这些密码。
缓解因素
这听起来像是一个糟糕的开始的好消息,而让这个消息变得更好的是:
- 只有三个证书在被盗当天尚未过期。 您不能使用过期的证书来签署新代码,即使您有解密证书的密码也是如此。
- 一份被盗证书在此期间于 2023 年 01 月 04 日过期。 该证书用于签署 Windows 程序。
- 第二个被盗证书将于明天 2023 年 02 月 01 日到期。 这也是 Windows 软件的签名证书。
- 最后一张证书仅在 2027 年到期。 这是用于签署 Apple 应用程序的,所以 GitHub 说它是 “与 Apple 合作,监控任何 [...] 新签署的应用程序。” 请注意,骗子仍然需要先破解证书密码。
- 所有受影响的证书都将在 2023 年 02 月 02 日被撤销。 吊销的证书被添加到一个特殊的清单中,操作系统(以及浏览器等应用程序)可以使用该清单来阻止不应再受信任的证书所担保的内容。
- 根据 GitHub 的说法,没有对任何被窃取的存储库进行未经授权的更改。 看起来这是一个“只读”的妥协,攻击者可以在其中查看,但不能触摸。
怎么办呢?
好消息是,如果您不是 GitHub Desktop 或 Atom 用户,则无需立即执行任何操作。
如果你有 GitHub桌面,您需要在明天之前升级,以确保您已替换使用即将被标记为错误的证书签名的应用程序的所有实例。
如果你还在使用 原子 (它于 2022 年 2022 月停产,并于 12 年 15 月 XNUMX 日结束了作为官方 GitHub 软件项目的生命),你会有点好奇地需要 降级 到一个稍旧的版本,该版本没有使用现在被盗的证书签名。
鉴于 Atom 已经达到其官方生命周期的终点,并且不会再获得任何安全更新,您应该无论如何都应该更换它。 (同样属于 Microsoft 的超流行 Visual Studio Code 似乎是 Atom 最初停产的主要原因。)
如果您自己是开发人员或软件经理……
......为什么不以此为动力去检查:
- 谁可以访问我们开发网络的哪些部分? 特别是对于遗留或报废项目,是否有任何遗留用户仍然拥有他们不再需要的剩余访问权限?
- 对我们的代码存储库的访问被锁定有多仔细? 如果用户自己的计算机受到威胁,是否有任何用户的密码或访问令牌很容易被盗或滥用?
- 有没有人上传了不应该存在的文件? Windows 甚至可以通过抑制文件名末尾的扩展名来误导有经验的用户,因此您并不总是确定哪个文件是哪个。 Linux 和 Unix 系统,包括 macOS,会自动隐藏(但不会使用!)任何以点(句点)字符开头的文件和目录。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/01/31/github-code-signing-certificates-stolen-but-will-be-revoked-this-week/
- 1
- 2022
- 7
- a
- Able
- 关于
- 绝对
- ACCESS
- 账号管理
- 账户
- 后天
- 通
- 添加
- 后
- 驳
- 所有类型
- 已经
- 时刻
- 和
- 另一个
- 答案
- 任何人
- 应用
- Apple
- 批准
- 应用
- 档案
- 相关
- 原子
- 攻击
- 作者
- 汽车
- 自动
- 背景图像
- 坏
- 因为
- before
- 开始
- 更好
- 阻止
- 边界
- 半身裙/裤
- 违反
- 浏览器
- 建筑物
- 种子套餐
- 商业
- 呼叫
- 小心
- 小心
- 案件
- Center
- 当然
- 证书
- 证书
- 更改
- 字符
- 查
- 索赔
- 码
- 同事
- 颜色
- 公司
- 妥协
- 妥协
- 电脑
- 信心
- 配置
- 包含
- 内容
- Contents
- 公司
- 可以
- 课程
- 外壳
- 裂纹
- 资历
- 罪犯
- 克鲁克斯
- 合作伙伴
- 网络罪犯
- data
- 数据泄漏
- 数据库
- 数据库
- 天
- 十二月
- 解码
- 问题类型
- 通过电脑捐款
- 详情
- 检测
- 开发商
- 开发
- 研发支持
- 直接
- 目录
- 屏 显:
- 别
- DOT
- 向下
- 容易
- 影响
- 或
- 别处
- 邮箱地址
- 电子邮件
- 加密
- 确保
- 整个
- 特别
- 建立
- 甚至
- 每个人
- 例子
- 现有
- 有经验
- 延长
- 扩展
- 数字
- 文件
- 档
- 姓氏:
- 已标记
- 止
- 得到
- 越来越
- GitHub上
- 给
- Go
- 非常好
- 发生
- 发生
- 高度
- 隐藏
- 举行
- 徘徊
- 创新中心
- 但是
- HTTPS
- 立即
- 影响力故事
- in
- 刺激
- 包括
- 包含
- 信息
- 基础设施
- 房源搜索
- 内部
- IT
- 本身
- 行话
- 已知
- 名:
- 铅
- 泄漏
- 遗产
- 生活
- Linux的
- 锁定
- 不再
- 看
- LOOKS
- 机
- MacOS的
- 制成
- 制作
- 经理
- 余量
- 最大宽度
- 手段
- 条未读消息
- 微软
- 可能
- 错误
- 缓解
- 显示器
- 个月
- 更多
- 名称
- 几乎
- 需求
- 也不
- 网络
- 全新
- 消息
- 正常
- 官方
- 一
- 开放源码
- 操作
- 操作系统
- 组织
- 其他名称
- Outlook
- 己
- 包
- 部分
- 部分
- 密码
- 密码
- 保罗
- 期间
- 个人
- 地方
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 位置
- 帖子
- 潜力
- 在练习上
- 漂亮
- 以前
- 小学
- 私立
- 大概
- 市场问题
- 热销产品
- 训练课程
- 项目
- 项目
- 国家
- 公然
- 发布
- 放
- 很快
- 达到
- 原因
- 释放
- 更换
- 更换
- 知识库
- 揭密
- 风险
- 同
- 其次
- 秘密
- 保安
- 安全更新
- 似乎
- 句子
- 应该
- 签署
- 签
- 签约
- 只是
- So
- 软件
- 固体
- 一些
- 有人
- 东西
- 有些
- 来源
- 源代码
- 特别
- 具体的
- 开始
- 仍
- 被盗
- 存储
- 存储
- 工作室
- 这样
- 应该
- SVG的
- 系统
- 产品
- 团队
- 其
- 那里。
- 本星期
- 三
- 次
- 至
- 象征
- 令牌
- 明天
- 最佳
- 触摸
- 过渡
- 透明
- 信任
- 最终
- 相关
- UNIX
- 最新动态
- 升级
- 上传
- 网址
- 使用
- 用户
- 用户
- 各个
- 版本
- 受害者
- 查看
- 投票
- 通缉
- 方法
- 周
- 什么是
- 是否
- 这
- WHO
- 将
- 窗户
- Word
- 价值
- 将
- 错误
- 您一站式解决方案
- 和风网