Aanvallers kunnen broncode trojansen die er nog steeds legitiem uitziet


Met behulp van een bepaalde tactiek zouden aanvallers in theorie elke broncode kunnen uitrusten met kwaadaardige functies zonder dat de code door beveiligingsonderzoekers wordt onderzocht om afwijkingen aan het licht te brengen. Als de broncode vervolgens wordt gecompileerd en uitgevoerd, kunnen aanvallers zich bijvoorbeeld met achterdeurtjes op computers vestigen. In principe zou elke programmeertaal hierdoor moeten worden beïnvloed.

Beveiligingsonderzoekers van de University of Cambridge en University of Edinburgh waarschuwen daarvoor in een gedetailleerd rapport”Trojaanse bron Onzichtbare kwetsbaarhedenDe kern van het probleem is de Unicode-standaard in verband met het Bidi-algoritme. Unicode brengt karakters en tekstelementen in kaart van alle bekende schrijfculturen en tekensystemen. De Bidi-override-functie zorgt ervoor dat talen als Duits (lees van links naar rechts) en Arabisch (lees van rechts naar links) correct worden weergegeven.

Dit is precies waar een aanvaller zou kunnen beginnen en kwaadwillig bepaalde groepen karakters zou kunnen herschikken, bijvoorbeeld in secties die zijn uitgecommentarieerd. Het gebruik van gelijkaardige of identiek ogende karakters (homoglifen) voor codemanipulatie is ook denkbaar.

Als het goed wordt gedaan, ziet de broncode er ongevaarlijk uit voor een menselijke kijker. Tijdens de compilatie, die ondanks de manipulatie zou moeten werken, komt er aan het einde echter een programma met kwaadaardige functies naar voren. Tot nu toe hebben de kwetsbaarheden (CVE-2021-42574, CVE-2021-42694) nog geen dreigingsniveau toegewezen gekregen.

Als dit gebeurt met veelgebruikte open source software, die op zijn beurt wordt gebruikt als onderdeel van andere software, kan dat verstrekkende gevolgen hebben. Zonder het te weten zouden ontwikkelaars de kwaadaardige functies in vorken van software verspreiden via kopiëren en plakken. Dit is vooral lastig voor grote projecten zoals Linux, waar in principe iedereen code kan indienen.

De beveiligingsonderzoekers stellen dat ze nog geen aanvallen van dit type hebben gedocumenteerd. Ze bevestigen dat ze de publicatie van details van aanvallen gedurende 99 dagen hebben achtergehouden, zodat ontwikkelaars beveiligingsupdates voor hun programmeertalen kunnen leveren.

De patchwave is al begonnen en gaat over de Rust programmeertaal volgens een rapport Versie 1.56.1 is beschermd tegen Trojaanse bronaanvallen. Beveiligingsonderzoekers verwachten dat platforms als Github snel reageren en code in programmeertalen herkennen zonder bidi-bescherming en waarschuwingen geven.


(van)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: