Bug
encontrado permite que um invasor se passe por um editor e emita uma extensão
maliciosa para comprometer um sistema visado
O Varonis Threat Labs encontrou um bug de interface do
usuário facilmente explorável no instalador de extensão do Microsoft Visual
Studio, que permite que um invasor falsifique uma assinatura e represente
efetivamente qualquer editor. A Microsoft lançou um patch para CVE-2023-28299
em 11 de abril de 2023.
Os sistemas não corrigidos permanecem vulneráveis a agentes de ameaças que emitem extensões maliciosas direcionadas para comprometer os sistemas.
De acordo com os pesquisadores da Varonis, o bug merece atenção porque é
facilmente explorável e existe em um produto com 26% de participação no mercado
e mais de 30.000 clientes.
De acordo com Dolor Taler, pesquisadora de segurança da
Varonis, com o bug da interface do usuário encontrado pelo Varonis Threat Labs,
um agente de ameaças pode se passar por um editor e emitir uma extensão
maliciosa para comprometer um sistema de destino. "Extensões maliciosas
foram usadas para roubar informações confidenciais, acessar e alterar códigos
silenciosamente ou assumir o controle total de um sistema",
detalhou.
A vulnerabilidade descoberta pela Varonis afeta várias
versões do ambiente de desenvolvimento integrado (IDE) do Visual Studio, do
Visual Studio 2017 ao Visual Studio 2022. A falha envolve a capacidade de qualquer
pessoa contornar facilmente uma restrição de segurança no Visual Studio que
impede os usuários de inserir informações na propriedade de extensão.
Os pesquisadores descobriram que um invasor poderia
contornar esse controle simplesmente abrindo um pacote do Visual Studio
Extension (VSIX) como um arquivo .ZIP e adicionando manualmente caracteres de
nova linha a uma marca no arquivo. Um caractere de nova linha é algo que os
desenvolvedores usam para denotar o fim de uma linha de texto, de modo que o cursor
se move para o início da próxima linha na tela.
Taler explica que adicionando caracteres de nova linha
suficientes ao nome da extensão, um invasor poderia forçar todos os outros
textos no instalador do Visual Studio a serem baixados, ocultando assim
qualquer aviso sobre a extensão não estar assinada digitalmente. "E como
um agente de ameaça controla a área sob o nome da extensão, ele pode facilmente
adicionar um texto falso de 'Assinatura Digital', visível para o usuário e
parecendo genuíno", explicou Taler.
Recomendações da Microsoft
A Microsoft reconheceu essa exploração, atribuiu a ela o
identificador CVE-2023-28299 e incluiu uma correção na atualização Patch
Tuesday de 11 de abril de 2023. O Varonis Threat Labs adiou a divulgação até
que uma correção pudesse ser emitida, e assim não dar pistas aos
invasores.
A Varonis recomenda que todos os
sistemas potencialmente vulneráveis apliquem
o patch fornecido pela Microsoft e monitorem qualquer atividade suspeita.
Nenhum comentário:
Postar um comentário