據(jù)Dark Reading 6月8日消息，Varonis安全研究人員警告稱，微軟此前修復(fù)的一個(gè)Visual Studio安裝程序漏洞危害不容小視，攻擊者可以利用此漏洞偽裝成合法的軟件，創(chuàng)建和分發(fā)惡意擴(kuò)展程序，對(duì)開(kāi)發(fā)環(huán)境進(jìn)行滲透，從而掌控代碼、竊取高價(jià)值的知識(shí)產(chǎn)權(quán)。

該漏洞被追蹤為CVE-2023-28299，微軟已在4月份的月度安全更新中發(fā)布了修復(fù)補(bǔ)丁。當(dāng)時(shí)微軟將其描述為“中等”嚴(yán)重性漏洞，并評(píng)估稱黑客不太可能利用的漏洞。但6月7日，Varonis公司的研究人員 Dolor Taler在一篇博客文章中對(duì)該漏洞及其潛在影響提出了不同的看法，指出它很容易被利用，且存在于一個(gè)擁有 26% 市場(chǎng)份額和超過(guò) 30000 名客戶的產(chǎn)品中。

值得被關(guān)注的漏洞

Taler發(fā)現(xiàn)，該漏洞影響 Visual Studio 集成開(kāi)發(fā)環(huán)境 (IDE) 的多個(gè)版本，從 Visual Studio 2017 到 Visual Studio 2022，利用該漏洞的任何人都能輕松繞過(guò)Visual Studio中的一個(gè)安全限制，該限制防止用戶在“產(chǎn)品名稱”擴(kuò)展屬性中輸入信息。

攻擊者可以通過(guò)將Visual Studio Extension（VSIX）包作為.zip文件打開(kāi)，然后手動(dòng)向“extension.vsixmanifest”文件中的標(biāo)記添加換行符來(lái)繞過(guò)該控件。通過(guò)向擴(kuò)展名稱添加足夠多的換行符，攻擊者可以強(qiáng)制下推 Visual Studio 安裝程序中的所有其他文本，從而隱藏任何關(guān)于擴(kuò)展未進(jìn)行數(shù)字簽名的警告。由于攻擊者控制了擴(kuò)展名下的區(qū)域，他們可以輕松添加使用戶看起來(lái)以為是真實(shí)的虛假‘?dāng)?shù)字簽名’文本。

Taler表示，攻擊者有多種方法將惡意擴(kuò)展程序感染到軟件開(kāi)發(fā)人員的系統(tǒng)中，大多數(shù)方法涉及釣魚(yú)或其他社交工程。隨后，這些惡意程序可以將其用作進(jìn)入組織的開(kāi)發(fā)生態(tài)系統(tǒng)和其他目標(biāo)環(huán)境的起點(diǎn)。

Taler提到了近期LastPass的遭遇，通過(guò)利用計(jì)算機(jī)媒體播放器中的漏洞，攻擊者對(duì)其軟件開(kāi)發(fā)系統(tǒng)進(jìn)行了有針對(duì)性的入侵，最終獲取了數(shù)千萬(wàn)用戶及上萬(wàn)家公司的密碼數(shù)據(jù)。

Varonis 的研究和安全主管 Emanuel 告訴 Dark Reading，攻擊者可以使用多種方法來(lái)誘騙用戶執(zhí)行欺騙性的 Visual Studio 擴(kuò)展，比如可以誘騙用戶點(diǎn)擊開(kāi)發(fā)者社區(qū)網(wǎng)站上的帖子，將他們帶到惡意網(wǎng)頁(yè)上進(jìn)行下載。

Varonis安全研究經(jīng)理Dvir Sason補(bǔ)充說(shuō)認(rèn)為，其他感染途徑可能始于含有模仿真實(shí)VSIX擴(kuò)展的欺騙性電子郵件。或者可能是一個(gè)包含破解軟件的網(wǎng)站。他認(rèn)為，由于是以開(kāi)發(fā)人員為目標(biāo)，其攻擊目的可能不是為了破壞對(duì)方網(wǎng)絡(luò)，對(duì)知識(shí)產(chǎn)權(quán)的竊取反而更加有利可圖。