Los investigadores descubren un error de suplantación de identidad del editor en el instalador de Microsoft Visual Studio


12 de junio de 2023Ravie LakshmanánVulnerabilidad / Software

Los investigadores de seguridad advirtieron sobre una falla “fácilmente explotable” en el instalador de Microsoft Visual Studio que podría ser abusada por un actor malicioso para hacerse pasar por un editor legítimo y distribuir extensiones maliciosas.

“Un actor de amenazas podría hacerse pasar por un editor popular y emitir una extensión maliciosa para comprometer un sistema específico”, dijo el investigador de Varonis Dolev Taler. dicho. “Se han utilizado extensiones maliciosas para robar información confidencial, acceder y cambiar el código de forma silenciosa, o tomar el control total de un sistema”.

La vulnerabilidad, que se rastrea como CVE-2023-28299 (puntuación CVSS: 5,5), fue abordado por Microsoft como parte de sus actualizaciones del martes de parches para abril de 2023, y lo describió como una falla de suplantación de identidad.

La seguridad cibernética

El error descubierto por Varonis tiene que ver con la interfaz de usuario de Visual Studio, que permite firmas digitales de editores falsificados.

Específicamente, evita de manera trivial una restricción que impide que los usuarios ingresen información en la propiedad de extensión “nombre del producto” al abrir una extensión de Visual Studio (VSIX) como un archivo .ZIP y luego agregando manualmente caracteres de nueva línea a la etiqueta “DisplayName” en el archivo “extension.vsixmanifest”.

estudio visual de microsoft

Al introducir suficientes caracteres de nueva línea en el archivo vsixmanifest y agregar texto falso de “Firma digital”, se descubrió que las advertencias sobre la extensión que no está firmada digitalmente podrían suprimirse fácilmente, engañando así a un desarrollador para que la instale.

PRÓXIMO SEMINARIO WEB

🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!

Únase a la sesión

En un escenario de ataque hipotético, un mal actor podría enviar un correo electrónico de phishing con la extensión VSIX falsificada camuflándolo como una actualización de software legítima y, después de la instalación, afianzarse en la máquina objetivo.

El acceso no autorizado podría utilizarse como plataforma de lanzamiento para obtener un control más profundo de la red y facilitar el robo de información confidencial.

“La baja complejidad y los privilegios necesarios hacen que este exploit sea fácil de armar”, dijo Taler. “Los actores de amenazas podrían usar esta vulnerabilidad para emitir extensiones maliciosas falsificadas con la intención de comprometer los sistemas”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57