Злоумышленники массово подделывают цифровые подписи расширений Visual Studio

Злоумышленники массово подделывают цифровые подписи расширений Visual Studio

Активная эксплуатация визуального бага позволила хакерам обмануть десятки разработчиков программного обеспечения.

image

Исследователи кибербезопасности Varonis обнаружили «легко эксплуатируемую» уязвимость в установщике расширений для Microsoft Visual Studio, которая может быть использована злоумышленниками для подделки цифровой подписи издателя и распространения вредоносных расширений.

Microsoft Visual Studio — это интегрированная среда разработки для .NET и C++ разработчиков на Windows. Она включает в себя компиляторы, инструменты автодополнения кода, графические редакторы и множество других функций для улучшения процесса разработки программного обеспечения.

«Злоумышленник может выдать себя за популярного издателя и выпустить вредоносное расширение для компрометации целевой системы. Вредоносные расширения могут использоваться для кражи конфиденциальной информации, скрытого доступа и изменения кода или полного контроля над системой», — объяснил Долев Талер, исследователь компании Varonis.

Данная уязвимость получила идентификатор CVE-2023-28299 (оценка CVSS: 5.5) и была устранена Microsoft в рамках ежемесячных обновлений безопасности в апреле 2023 года, однако до сих пор используется в атаках. Компания описала уязвимость как «спуфинг», без каких-либо подробностей.

Однако исследователи Varonis выяснили, что уязвимость связана с пользовательским интерфейсом Visual Studio. Визуальный баг позволяет подделывать цифровые подписи издателей. В частности, вводить любую информацию в свойстве «Название продукта» расширения путем открытия пакета Visual Studio Extension (VSIX) в виде ZIP-файла.

Как оказалось, при добавлении достаточного количество символов переноса строки в файл «extension.vsixmanifest», а также указании поддельного текста в графе «Цифровая подпись», разработчик уже не сможет увидеть уведомление об отсутствии легитимной цифровой подписи, поэтому доверится и установит вредоносное расширение.

Установщик расширения с поддельной цифровой подписью

В гипотетическом сценарии атаки злоумышленник мог бы отправить фишинговое письмо с поддельным VSIX-расширением, маскируя его под законное обновление программного обеспечения и, после установки, получить доступ к целевому компьютеру.

Несанкционированный доступ затем мог бы быть использован как отправная точка для получения более глубокого контроля над системой и сетью жертвы для облегчения дальнейшей кражи конфиденциальной информации.

«Низкая сложность и привилегии, необходимые для эксплуатации этой уязвимости, делают её легкой для превращения в оружие против разработчиков. Злоумышленники могут использовать эту уязвимость для выпуска поддельных вредоносных расширений с целью компрометации целевых систем», — заключил специалист компании Varonis.

Активная эксплуатация данной уязвимости наглядно демонстрирует, насколько важно быть внимательным при установке расширений для Visual Studio и других сред разработки. Разработчики должны всегда проверять цифровую подпись издателя как минимум несколькими способами, особенно если расширение кажется подозрительным. Также рекомендуется своевременно обновлять своё программное обеспечение и следить за последними новостями в сфере кибербезопасности.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум