Los investigadores de seguridad advirtieron sobre una falla «fácilmente explotable» en el instalador de Microsoft Visual Studio que podría ser abusada por un actor malicioso para hacerse pasar por un editor legítimo y distribuir extensiones maliciosas.
«Un actor de amenazas podría hacerse pasar por un editor popular y emitir una extensión maliciosa para comprometer un sistema específico», dijo el investigador de Varonis Dolev Taler. dicho. «Se han utilizado extensiones maliciosas para robar información confidencial, acceder y cambiar el código de forma silenciosa, o tomar el control total de un sistema».
La vulnerabilidad, que se rastrea como CVE-2023-28299 (puntuación CVSS: 5,5), fue abordado por Microsoft como parte de sus actualizaciones del martes de parches para abril de 2023, y lo describió como una falla de suplantación de identidad.
El error descubierto por Varonis tiene que ver con la interfaz de usuario de Visual Studio, que permite firmas digitales de editores falsificados.
Específicamente, evita de manera trivial una restricción que impide que los usuarios ingresen información en la propiedad de extensión «nombre del producto» al abrir una extensión de Visual Studio (VSIX) como un archivo .ZIP y luego agregando manualmente caracteres de nueva línea a la etiqueta «DisplayName» en el archivo «extension.vsixmanifest».
Al introducir suficientes caracteres de nueva línea en el archivo vsixmanifest y agregar texto falso de «Firma digital», se descubrió que las advertencias sobre la extensión que no está firmada digitalmente podrían suprimirse fácilmente, engañando así a un desarrollador para que la instale.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
En un escenario de ataque hipotético, un mal actor podría enviar un correo electrónico de phishing con la extensión VSIX falsificada camuflándolo como una actualización de software legítima y, después de la instalación, afianzarse en la máquina objetivo.
El acceso no autorizado podría utilizarse como plataforma de lanzamiento para obtener un control más profundo de la red y facilitar el robo de información confidencial.
«La baja complejidad y los privilegios necesarios hacen que este exploit sea fácil de armar», dijo Taler. «Los actores de amenazas podrían usar esta vulnerabilidad para emitir extensiones maliciosas falsificadas con la intención de comprometer los sistemas».