(相關(guān)資料圖)
據(jù)Dark Reading 6月8日消息����,Varonis安全研究人員警告稱��,微軟此前修復(fù)的一個Visual Studio安裝程序漏洞危害不容小視��,攻擊者可以利用此漏洞偽裝成合法的軟件����,創(chuàng)建和分發(fā)惡意擴(kuò)展程序,對開發(fā)環(huán)境進(jìn)行滲透��,從而掌控代碼����、竊取高價值的知識產(chǎn)權(quán)。
該漏洞被追蹤為CVE-2023-28299��,微軟已在4月份的月度安全更新中發(fā)布了修復(fù)補(bǔ)丁��。當(dāng)時微軟將其描述為“中等”嚴(yán)重性漏洞�,并評估稱黑客不太可能利用的漏洞。但6月7日�,Varonis公司的研究人員 Dolor Taler在一篇博客文章中對該漏洞及其潛在影響提出了不同的看法,指出它很容易被利用�����,且存在于一個擁有 26% 市場份額和超過 30000 名客戶的產(chǎn)品中�����。
值得被關(guān)注的漏洞
Taler發(fā)現(xiàn)�,該漏洞影響 Visual Studio 集成開發(fā)環(huán)境 (IDE) 的多個版本,從 Visual Studio 2017 到 Visual Studio 2022����,利用該漏洞的任何人都能輕松繞過Visual Studio中的一個安全限制,該限制防止用戶在“產(chǎn)品名稱”擴(kuò)展屬性中輸入信息����。
攻擊者可以通過將Visual Studio Extension(VSIX)包作為.zip文件打開,然后手動向“extension.vsixmanifest”文件中的標(biāo)記添加換行符來繞過該控件��。通過向擴(kuò)展名稱添加足夠多的換行符����,攻擊者可以強(qiáng)制下推 Visual Studio 安裝程序中的所有其他文本��,從而隱藏任何關(guān)于擴(kuò)展未進(jìn)行數(shù)字簽名的警告��。由于攻擊者控制了擴(kuò)展名下的區(qū)域����,他們可以輕松添加使用戶看起來以為是真實(shí)的虛假‘?dāng)?shù)字簽名’文本����。
Taler表示,攻擊者有多種方法將惡意擴(kuò)展程序感染到軟件開發(fā)人員的系統(tǒng)中�����,大多數(shù)方法涉及釣魚或其他社交工程���。隨后��,這些惡意程序可以將其用作進(jìn)入組織的開發(fā)生態(tài)系統(tǒng)和其他目標(biāo)環(huán)境的起點(diǎn)�。
Taler提到了近期LastPass的遭遇��,通過利用計算機(jī)媒體播放器中的漏洞�����,攻擊者對其軟件開發(fā)系統(tǒng)進(jìn)行了有針對性的入侵��,最終獲取了數(shù)千萬用戶及上萬家公司的密碼數(shù)據(jù)��。
Varonis 的研究和安全主管 Emanuel 告訴 Dark Reading��,攻擊者可以使用多種方法來誘騙用戶執(zhí)行欺騙性的 Visual Studio 擴(kuò)展����,比如可以誘騙用戶點(diǎn)擊開發(fā)者社區(qū)網(wǎng)站上的帖子,將他們帶到惡意網(wǎng)頁上進(jìn)行下載��。
Varonis安全研究經(jīng)理Dvir Sason補(bǔ)充說認(rèn)為�����,其他感染途徑可能始于含有模仿真實(shí)VSIX擴(kuò)展的欺騙性電子郵件��?���;蛘呖赡苁且粋€包含破解軟件的網(wǎng)站。他認(rèn)為���,由于是以開發(fā)人員為目標(biāo)���,其攻擊目的可能不是為了破壞對方網(wǎng)絡(luò)�,對知識產(chǎn)權(quán)的竊取反而更加有利可圖�。
