安全研究人员警告说,微软Visual Studio安装程序中存在一个漏洞,该漏洞使网络攻击者能够伪装成合法的软件发行商,创建并向应用程序开发人员分发恶意扩展。从那里,他们可以渗透到开发环境中,控制、毒害代码、窃取高价值的知识产权等等。
微软在4月份的月度安全更新中发布了针对该欺骗漏洞的补丁(编号为cve -2023-28299)。当时,该公司将该漏洞描述为中等严重程度,并将其评估为攻击者不太可能利用的漏洞。但在本周的一篇博客中,发现该漏洞的瓦洛尼斯研究人员最初对该漏洞及其潜在影响提出了略微不同的看法。
根据帖子,这个漏洞值得关注,因为它很容易被利用,并且存在于一个拥有26%市场份额和3万多客户的产品中。
Varonis安全研究员Dolor Taler写道:“通过Varonis威胁实验室发现的UI漏洞,威胁行为者可以冒充流行的出版商并发布恶意扩展来破坏目标系统。恶意扩展被用来窃取敏感信息,默默地访问和更改代码,或者完全控制系统。”
Varonis发现的漏洞影响了多个版本的Visual Studio集成开发环境(IDE),从Visual Studio 2017到Visual Studio 2022。任何人都可以轻易地绕过Visual Studio中的安全限制,该限制阻止用户在产品名扩展属性中输入信息。
Taler发现,攻击者可以通过简单地打开Visual Studio扩展(VSIX)包作为. zip文件,然后手动在扩展中的标记中添加换行符来绕过该控制。换行符是开发人员用来表示文本行结束的字符,因此光标移动到屏幕上下一行的开始。
Taler发现,通过在扩展名中添加足够的换行字符,攻击者可以强制将Visual Studio安装程序中的所有其他文本下推,从而隐藏任何关于扩展未被数字签名的警告。
塔勒说:“由于威胁行为者控制了扩展名下的区域,他们可以很容易地添加虚假的数字签名文本,用户可以看到,看起来是真的。”
瓦罗尼斯说:“攻击者有多种选择,大多数涉及网络钓鱼或其他社会工程向软件开发人员提供恶意扩展,并利用它来破坏他们的系统。然后,他们可以将其用作进入组织的开发生态系统和其他目标丰富的环境的跳板。”
密码管理供应商LastPass是最近的一个例子,该公司的开发系统遭到了针对软件开发人员系统的有针对性攻击。在那次事件中,攻击者利用用户机器上安装的媒体播放器的一个漏洞来安装恶意软件,最终让他们获得了访问LastPass生产备份的途径。
Varonis研究和安全主管Emanuel表示:“攻击者可以使用几种方法诱骗用户执行欺骗性的Visual Studio扩展。例如,他们可以诱骗用户点击开发者社区网站上的帖子,然后进入一个网页进行下载。”
扫一扫
2484
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
