據(jù)Dark Reading 6月8日消息，Varonis安全研究人員警告稱，微軟此前修復(fù)的一個(gè)Visual Studio安裝程序漏洞危害不容小視，攻擊者可以利用此漏洞偽裝成合法的軟件，創(chuàng)建和分發(fā)惡意擴(kuò)展程序，對開發(fā)環(huán)境進(jìn)行滲透，從而掌控代碼、竊取高價(jià)值的知識產(chǎn)權(quán)。

該漏洞被追蹤為CVE-2023-28299，微軟已在4月份的月度安全更新中發(fā)布了修復(fù)補(bǔ)丁。當(dāng)時(shí)微軟將其描述為“中等”嚴(yán)重性漏洞，并評估稱黑客不太可能利用的漏洞。但6月7日，Varonis公司的研究人員 Dolor Taler在一篇博客文章中對該漏洞及其潛在影響提出了不同的看法，指出它很容易被利用，且存在于一個(gè)擁有 26% 市場份額和超過 30000 名客戶的產(chǎn)品中。

值得被關(guān)注的漏洞

Taler發(fā)現(xiàn)，該漏洞影響 Visual Studio 集成開發(fā)環(huán)境 (IDE) 的多個(gè)版本，從 Visual Studio 2017 到 Visual Studio 2022，利用該漏洞的任何人都能輕松繞過Visual Studio中的一個(gè)安全限制，該限制防止用戶在“產(chǎn)品名稱”擴(kuò)展屬性中輸入信息。

攻擊者可以通過將Visual Studio Extension（VSIX）包作為.zip文件打開，然后手動向“extension.vsixmanifest”文件中的標(biāo)記添加換行符來繞過該控件。通過向擴(kuò)展名稱添加足夠多的換行符，攻擊者可以強(qiáng)制下推 Visual Studio 安裝程序中的所有其他文本，從而隱藏任何關(guān)于擴(kuò)展未進(jìn)行數(shù)字簽名的警告。由于攻擊者控制了擴(kuò)展名下的區(qū)域，他們可以輕松添加使用戶看起來以為是真實(shí)的虛假‘?dāng)?shù)字簽名’文本。

Taler表示，攻擊者有多種方法將惡意擴(kuò)展程序感染到軟件開發(fā)人員的系統(tǒng)中，大多數(shù)方法涉及釣魚或其他社交工程。隨后，這些惡意程序可以將其用作進(jìn)入組織的開發(fā)生態(tài)系統(tǒng)和其他目標(biāo)環(huán)境的起點(diǎn)。

Taler提到了近期LastPass的遭遇，通過利用計(jì)算機(jī)媒體播放器中的漏洞，攻擊者對其軟件開發(fā)系統(tǒng)進(jìn)行了有針對性的入侵，最終獲取了數(shù)千萬用戶及上萬家公司的密碼數(shù)據(jù)。

Varonis 的研究和安全主管 Emanuel 告訴 Dark Reading，攻擊者可以使用多種方法來誘騙用戶執(zhí)行欺騙性的 Visual Studio 擴(kuò)展，比如可以誘騙用戶點(diǎn)擊開發(fā)者社區(qū)網(wǎng)站上的帖子，將他們帶到惡意網(wǎng)頁上進(jìn)行下載。

Varonis安全研究經(jīng)理Dvir Sason補(bǔ)充說認(rèn)為，其他感染途徑可能始于含有模仿真實(shí)VSIX擴(kuò)展的欺騙性電子郵件。或者可能是一個(gè)包含破解軟件的網(wǎng)站。他認(rèn)為，由于是以開發(fā)人員為目標(biāo)，其攻擊目的可能不是為了破壞對方網(wǎng)絡(luò)，對知識產(chǎn)權(quán)的竊取反而更加有利可圖。