Pesquisadores de segurança alertaram sobre uma falha "facilmente explorável" no instalador do Microsoft Visual Studio que pode ser abusada por um ator malicioso para se passar por um editor legítimo e distribuir extensões maliciosas.
"Um ator ameaçador poderia se passar por um editor popular e emitir uma extensão maliciosa para comprometer um sistema alvo", disse o pesquisador da Varonis, Dolev Taler.
"Extensões maliciosas têm sido usadas para roubar informações sensíveis, acessar e alterar o código silenciosamente ou assumir o controle total de um sistema."
A vulnerabilidade, rastreada como
CVE-2023-28299
(pontuação CVSS: 5,5), foi tratada pela Microsoft como parte de suas atualizações do Patch Tuesday para abril de 2023, descrevendo-a como uma falha de spoofing.
O bug descoberto pela Varonis tem a ver com a interface do usuário do Visual Studio, que permite assinaturas digitais de editor falsificadas.
Especificamente, ele contorna trivialmente uma restrição que impede os usuários de inserir informações na propriedade de extensão "nome do produto", abrindo um pacote de Extensão do Visual Studio (VSIX) como um arquivo .ZIP e, em seguida, adicionando manualmente caracteres de nova linha à tag "DisplayName" no arquivo "extension.vsixmanifest".
Ao introduzir caracteres de nova linha suficientes no arquivo vsixmanifest e adicionar texto falso de "assinatura digital", foi descoberto que os avisos sobre a extensão não estar assinada digitalmente poderiam ser facilmente suprimidos, enganando assim um desenvolvedor a instalá-la.
Em um cenário de ataque hipotético, um ator malicioso poderia enviar um e-mail de phishing com a extensão VSIX falsificada, camuflando-a como uma atualização de software legítima e, após a instalação, ganhar um ponto de apoio na máquina-alvo.
O acesso não autorizado poderia então ser usado como uma plataforma de lançamento para obter um controle mais profundo da rede e facilitar o roubo de informações sensíveis.
"A baixa complexidade e privilégios necessários tornam essa exploração fácil de ser armada", disse Taler.
"Ameaçadores poderiam usar essa vulnerabilidade para emitir extensões maliciosas falsificadas com a intenção de comprometer sistemas."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...