Les chercheurs en sécurité ont mis en garde contre une faille « facilement exploitable » dans le programme d’installation de Microsoft Visual Studio qui pourrait être exploitée par un acteur malveillant pour se faire passer pour un éditeur légitime et distribuer des extensions malveillantes.
« Un acteur malveillant pourrait se faire passer pour un éditeur populaire et émettre une extension malveillante pour compromettre un système ciblé », a déclaré Dolev Taler, chercheur chez Varonis. a dit. « Des extensions malveillantes ont été utilisées pour voler des informations sensibles, accéder et modifier silencieusement du code, ou prendre le contrôle total d’un système. »
La vulnérabilité, qui est suivie comme CVE-2023-28299 (score CVSS : 5,5), a été abordé par Microsoft dans le cadre de ses mises à jour du Patch Tuesday d’avril 2023, le décrivant comme une faille d’usurpation d’identité.
Le bogue découvert par Varonis concerne l’interface utilisateur de Visual Studio, qui autorise les signatures numériques d’éditeurs usurpées.
Plus précisément, il contourne trivialement une restriction qui empêche les utilisateurs de saisir des informations dans la propriété d’extension « nom du produit » en ouvrant une extension Visual Studio (VSIX) sous forme de fichier .ZIP, puis en ajoutant manuellement caractères de retour à la ligne à la balise « DisplayName » dans le fichier « extension.vsixmanifest ».
En introduisant suffisamment de caractères de nouvelle ligne dans le fichier vsixmanifest et en ajoutant un faux texte « Signature numérique », il a été constaté que les avertissements concernant l’extension non signée numériquement pouvaient être facilement supprimés, incitant ainsi un développeur à l’installer.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Dans un scénario d’attaque hypothétique, un acteur malveillant pourrait envoyer un e-mail de phishing portant l’extension VSIX usurpée en la camouflant comme une mise à jour logicielle légitime et, après l’installation, prendre pied dans la machine ciblée.
L’accès non autorisé pourrait alors être utilisé comme rampe de lancement pour mieux contrôler le réseau et faciliter le vol d’informations sensibles.
« La faible complexité et les privilèges requis rendent cet exploit facile à militariser », a déclaré Taler. « Les acteurs de la menace pourraient utiliser cette vulnérabilité pour émettre des extensions malveillantes usurpées avec l’intention de compromettre les systèmes. »