Güvenlik araştırmacıları, siber saldırganlara meşru bir yazılım yayımcısı kisvesi altında kötü amaçlı uzantılar oluşturma ve uygulama geliştiricilere dağıtma yolu sağlayan Microsoft Visual Studio yükleyicisindeki bir hata hakkında uyarıda bulunuyor. Oradan geliştirme ortamlarına sızabilir, kontrolü ele geçirebilir, kodu zehirleyebilir, yüksek değerli fikri mülkiyeti çalabilir ve daha fazlasını yapabilirler.
Microsoft, Nisan ayına yönelik aylık güvenlik güncellemesiyle, kimlik sahtekarlığı güvenlik açığı için CVE-2023-28299 olarak izlenen bir yama yayınladı. O sırada şirket, güvenlik açığını orta düzeyde olarak tanımladı ve saldırganların yararlanma olasılığının düşük olduğu bir hata olarak değerlendirdi. Ama bu hafta bir blogda, Varonisli araştırmacılar güvenlik açığını keşfeden kişi, başlangıçta hata ve potansiyel etkisi için biraz farklı bir yaklaşım sundu.
Gönderiye göre, hata kolayca istismar edilebildiği ve %26 pazar payına ve 30.000’den fazla müşteriye sahip bir üründe bulunduğu için dikkati hak ediyor.
Varonis güvenlik araştırmacısı Dolor Taler, “Varonis Threat Labs tarafından bulunan UI hatasıyla, bir tehdit aktörü popüler bir yayıncının kimliğine bürünebilir ve hedeflenen bir sistemi tehlikeye atmak için kötü amaçlı bir uzantı yayınlayabilir.” “Hassas bilgileri çalmak, koda sessizce erişmek ve kodu değiştirmek veya bir sistemin tam denetimini ele geçirmek için kötü amaçlı uzantılar kullanıldı.”
CVE-2023-28299: Dikkate Değer
Varonis’in keşfettiği güvenlik açığı, Visual Studio 2017’den Visual Studio 2022’ye kadar Visual Studio tümleşik geliştirme ortamının (IDE) birden çok sürümünü etkiliyor. Kusur, herkesin Visual Studio’da kullanıcıların bilgi girmesini engelleyen bir güvenlik kısıtlamasını kolayca atlayabilmesini içeriyor. “ürün adı” uzantı özelliğinde.
Taler, bir saldırganın yalnızca bir Visual Studio Extension (VSIX) paketini .ZIP dosyası olarak açıp ardından “extension.vsixmanifest” dosyasındaki bir etikete manuel olarak yeni satır karakterleri ekleyerek bu kontrolü atlayabileceğini buldu. Yeni satır karakteri, geliştiricilerin bir metin satırının sonunu belirtmek için kullandıkları bir şeydir, bu nedenle imleç, ekranda bir sonraki satırın başlangıcı.
Taler, bir saldırganın uzantı adına yeterli sayıda yeni satır karakteri ekleyerek Visual Studio yükleyicisindeki diğer tüm metinleri aşağı itmeye zorlayabileceğini ve böylece uzantının dijital olarak imzalanmadığına ilişkin tüm uyarıları gözden gizleyebileceğini keşfetti.
Taler, “Ve bir tehdit aktörü, uzantı adı altındaki alanı kontrol ettiği için, kullanıcı tarafından görülebilen ve orijinal gibi görünen sahte ‘Dijital İmza’ metnini kolayca ekleyebilir.”
Kötü Amaçlı Uzantıları Gönderme: Birden Fazla Teslim Seçeneği
Varonis, saldırganların yazılım geliştiricilere kötü amaçlı bir uzantı sağlamak ve sistemlerini tehlikeye atmak için kullanmak için çoğu kimlik avı veya diğer sosyal mühendisliği içeren birden fazla seçeneğe sahip olduğunu söyledi. Daha sonra bunu kuruluşun geliştirme ekosistemine ve diğer hedef açısından zengin ortamlara bir fırlatma rampası olarak kullanabilirler.
Parola yönetimi satıcısı LastPass, bir yazılım geliştiricinin sistemine hedefli bir saldırı yoluyla geliştirme sistemlerinde ihlal yaşayan bir şirketin yakın tarihli bir örneğidir. Bu örnekte, saldırganlar kötü amaçlı yazılım yüklemek için kişinin makinesinde yüklü bir medya oynatıcıdaki bir güvenlik açığından yararlandı ve bu da sonunda onlara LastPass üretim yedeklerine erişmenin bir yolunu verdi.
Veya Varonis’te araştırma ve güvenlik müdürü olan Emanuel, Dark Reading’e saldırganların kullanıcıları kandırarak sahte bir Visual Studio uzantısı yürütmeleri için çeşitli yaklaşımlar kullanabileceğini söylüyor. “Örneğin, kullanıcıları, indirmeleri için bir web sayfasına götüren bir geliştirici topluluk sitesindeki bir gönderiye tıklamaları için kandırabilirler” diyor.
Varonis’in güvenlik araştırma yöneticisi Dvir Sason, diğer bulaşma yollarının, gerçek bir uzantıyı taklit eden sahte bir VSIX uzantısı içeren bir kimlik avı e-postasıyla başlayabileceğini ekliyor. Veya, kırılmış yazılım içeren bir site olabilir veya hatta Microsoft pazarında bilinen ve geçerli bir uzantıyı yazım hatası yaparak olabilir, diyor Sason.
“Geliştiriciler hedef alındığından, güvenlik odaklı olmayabilecek ve üzerinde çalıştıkları potansiyel fikri mülkiyet nedeniyle çok daha kazançlı olabilecek potansiyel kurbanlara bakıyoruz.” Bir uzantının başarılı bir şekilde yüklenmesiyle, tehdit aktörleri zaman ayırabilir ve virüslü sistemlerden gelen bulaşmaları ve iletişimleri bekleyebilir: “Ayrıca, otomatik derleme için potansiyel olarak kötü amaçlı kod eklenebilir ve bazı uç nokta savunmalarını yenebilir.”
Bu senaryoların tümü kullanıcı etkileşimini içerir. Saldırgan, meşru bir Visual Studio uzantısının inandırıcı bir parodisini nispeten kolayca geliştirebilse de, hedefini onu yüklemeye ikna etmesi gerekir. Sason, bulaşma noktasının kullanıcı etkileşimini içermesi gerektiğinden, kusurun bir uzaktan kod yürütme (RCE) kusuru kadar kritik kabul edilmediğini söylüyor. Emanuel, “Bununla birlikte, güncel olmayan tüm Visual Studio kullanıcıları risk altındadır” diye ekliyor.
Varonis’in danışma belgesini ancak şimdi yayınlamaya karar vermesinin nedeninin, şirketin kuruluşların Visual Studio’yu güncellemek için bolca zamanı olduğundan emin olmak istemesi olduğunu söylüyor. “önde gelen IDE’lerden biri, bu yüzden saldırganlara dair ipucu vermek istemedik.”