(相關(guān)資料圖)
據(jù)Dark Reading 6月8日消息,Varonis安全研究人員警告稱(chēng),微軟此前修復(fù)的一個(gè)Visual Studio安裝程序漏洞危害不容小視��,攻擊者可以利用此漏洞偽裝成合法的軟件,創(chuàng)建和分發(fā)惡意擴(kuò)展程序,對(duì)開(kāi)發(fā)環(huán)境進(jìn)行滲透�,從而掌控代碼�、竊取高價(jià)值的知識(shí)產(chǎn)權(quán)�。
該漏洞被追蹤為CVE-2023-28299,微軟已在4月份的月度安全更新中發(fā)布了修復(fù)補(bǔ)丁���。當(dāng)時(shí)微軟將其描述為“中等”嚴(yán)重性漏洞�����,并評(píng)估稱(chēng)黑客不太可能利用的漏洞�����。但6月7日���,Varonis公司的研究人員 Dolor Taler在一篇博客文章中對(duì)該漏洞及其潛在影響提出了不同的看法,指出它很容易被利用��,且存在于一個(gè)擁有 26% 市場(chǎng)份額和超過(guò) 30000 名客戶(hù)的產(chǎn)品中����。
值得被關(guān)注的漏洞
Taler發(fā)現(xiàn)�����,該漏洞影響 Visual Studio 集成開(kāi)發(fā)環(huán)境 (IDE) 的多個(gè)版本,從 Visual Studio 2017 到 Visual Studio 2022�����,利用該漏洞的任何人都能輕松繞過(guò)Visual Studio中的一個(gè)安全限制��,該限制防止用戶(hù)在“產(chǎn)品名稱(chēng)”擴(kuò)展屬性中輸入信息���。
攻擊者可以通過(guò)將Visual Studio Extension(VSIX)包作為.zip文件打開(kāi)����,然后手動(dòng)向“extension.vsixmanifest”文件中的標(biāo)記添加換行符來(lái)繞過(guò)該控件����。通過(guò)向擴(kuò)展名稱(chēng)添加足夠多的換行符,攻擊者可以強(qiáng)制下推 Visual Studio 安裝程序中的所有其他文本�,從而隱藏任何關(guān)于擴(kuò)展未進(jìn)行數(shù)字簽名的警告。由于攻擊者控制了擴(kuò)展名下的區(qū)域����,他們可以輕松添加使用戶(hù)看起來(lái)以為是真實(shí)的虛假‘?dāng)?shù)字簽名’文本。
Taler表示���,攻擊者有多種方法將惡意擴(kuò)展程序感染到軟件開(kāi)發(fā)人員的系統(tǒng)中���,大多數(shù)方法涉及釣魚(yú)或其他社交工程��。隨后�����,這些惡意程序可以將其用作進(jìn)入組織的開(kāi)發(fā)生態(tài)系統(tǒng)和其他目標(biāo)環(huán)境的起點(diǎn)����。
Taler提到了近期LastPass的遭遇����,通過(guò)利用計(jì)算機(jī)媒體播放器中的漏洞,攻擊者對(duì)其軟件開(kāi)發(fā)系統(tǒng)進(jìn)行了有針對(duì)性的入侵��,最終獲取了數(shù)千萬(wàn)用戶(hù)及上萬(wàn)家公司的密碼數(shù)據(jù)�。
Varonis 的研究和安全主管 Emanuel 告訴 Dark Reading,攻擊者可以使用多種方法來(lái)誘騙用戶(hù)執(zhí)行欺騙性的 Visual Studio 擴(kuò)展����,比如可以誘騙用戶(hù)點(diǎn)擊開(kāi)發(fā)者社區(qū)網(wǎng)站上的帖子�����,將他們帶到惡意網(wǎng)頁(yè)上進(jìn)行下載。
Varonis安全研究經(jīng)理Dvir Sason補(bǔ)充說(shuō)認(rèn)為��,其他感染途徑可能始于含有模仿真實(shí)VSIX擴(kuò)展的欺騙性電子郵件�����?��;蛘呖赡苁且粋€(gè)包含破解軟件的網(wǎng)站���。他認(rèn)為,由于是以開(kāi)發(fā)人員為目標(biāo)����,其攻擊目的可能不是為了破壞對(duì)方網(wǎng)絡(luò),對(duì)知識(shí)產(chǎn)權(quán)的竊取反而更加有利可圖���。
