据Dark Reading 6月8日消息,Varonis安全研究人员警告称,微软此前修复的一个Visual Studio安装程序漏洞危害不容小视,攻击者可以利用此漏洞伪装成合法的软件,创建和分发恶意扩展程序,对开发环境进行渗透,从而掌控代码、窃取高价值的知识产权。
该漏洞被追踪为CVE-2023-28299,微软已在4月份的月度安全更新中发布了修复补丁。当时微软将其描述为“中等”严重性漏洞,并评估称黑客不太可能利用的漏洞。但6月7日,Varonis公司的研究人员 Dolor Taler在一篇博客文章中对该漏洞及其潜在影响提出了不同的看法,指出它很容易被利用,且存在于一个拥有 26% 市场份额和超过 30000 名客户的产品中。
值得被关注的漏洞
Taler发现,该漏洞影响 Visual Studio 集成开发环境 (IDE) 的多个版本,从 Visual Studio 2017 到 Visual Studio 2022,利用该漏洞的任何人都能轻松绕过Visual Studio中的一个安全限制,该限制防止用户在“产品名称”扩展属性中输入信息。
攻击者可以通过将Visual Studio Extension(VSIX)包作为.zip文件打开,然后手动向“extension.vsixmanifest”文件中的标记添加换行符来绕过该控件。通过向扩展名称添加足够多的换行符,攻击者可以强制下推 Visual Studio 安装程序中的所有其他文本,从而隐藏任何关于扩展未进行数字签名的警告。由于攻击者控制了扩展名下的区域,他们可以轻松添加使用户看起来以为是真实的虚假‘数字签名’文本。
Taler表示,攻击者有多种方法将恶意扩展程序感染到软件开发人员的系统中,大多数方法涉及钓鱼或其他社交工程。随后,这些恶意程序可以将其用作进入组织的开发生态系统和其他目标环境的起点。
Taler提到了近期LastPass的遭遇,通过利用计算机媒体播放器中的漏洞,攻击者对其软件开发系统进行了有针对性的入侵,最终获取了数千万用户及上万家公司的密码数据。
Varonis 的研究和安全主管 Emanuel 告诉 Dark Reading,攻击者可以使用多种方法来诱骗用户执行欺骗性的 Visual Studio 扩展,比如可以诱骗用户点击开发者社区网站上的帖子,将他们带到恶意网页上进行下载。
Varonis安全研究经理Dvir Sason补充说认为,其他感染途径可能始于含有模仿真实VSIX扩展的欺骗性电子邮件。或者可能是一个包含破解软件的网站。他认为,由于是以开发人员为目标,其攻击目的可能不是为了破坏对方网络,对知识产权的窃取反而更加有利可图。
参考来源:Easily Exploitable Microsoft Visual Studio Bug Opens Developers to Takeover