توییت
محققان امنیتی درباره یک نقص "به راحتی قابل بهره برداری" در نصب کننده مایکروسافت ویژوال استودیو هشدار داده اند که ممکن است توسط یک بازیگر مخرب برای جعل هویت یک ناشر قانونی و توزیع برنامه های افزودنی مخرب مورد سوء استفاده قرار گیرد.
Dolev Taler، محقق Varonis، گفت: «یک عامل تهدید میتواند جعل یک ناشر محبوب باشد و یک برنامه افزودنی مخرب برای به خطر انداختن یک سیستم هدف صادر کند. افزونههای مخرب برای سرقت اطلاعات حساس، دسترسی بیصدا و تغییر کد، یا کنترل کامل یک سیستم استفاده شدهاند.»
این آسیبپذیری که بهعنوان CVE-2023-28299 ردیابی میشود (امتیاز CVSS: 5.5)، توسط مایکروسافت به عنوان بخشی از بهروزرسانیهای Patch Tuesday برای آوریل 2023 مورد بررسی قرار گرفت و آن را به عنوان یک نقص جعل توصیف کرد.
باگ کشف شده توسط Varonis مربوط به رابط کاربری ویژوال استودیو است که امکان جعل امضاهای دیجیتال ناشر را فراهم می کند.
به طور خاص، با باز کردن یک بسته برنامه افزودنی ویژوال استودیو (VSIX) به عنوان یک فایل زیپ و سپس اضافه کردن دستی کاراکترهای خط جدید به تگ «DisplayName» در برچسب، محدودیتی را که کاربران را از وارد کردن اطلاعات در ویژگی پسوند «نام محصول» جلوگیری میکند دور میزند. فایل "extension.vsixmanifest".
مایکروسافت ویژوال استودیو نصب کننده
با معرفی کاراکترهای خط جدید کافی در فایل vsixmanifest و افزودن متن جعلی "امضای دیجیتال"، مشخص شد که هشدارهای مربوط به عدم امضای دیجیتالی افزونه را می توان به راحتی سرکوب کرد و در نتیجه توسعه دهنده را فریب داد تا آن را نصب کند.
در یک سناریوی حمله فرضی، یک بازیگر بد میتواند با استتار کردن آن بهعنوان یک بهروزرسانی نرمافزار قانونی، یک ایمیل فیشینگ حاوی پسوند جعلی VSIX ارسال کند و پس از نصب، جای پایی در دستگاه مورد نظر پیدا کند.
سپس از این دسترسی غیرمجاز می توان به عنوان سکوی پرتاب برای به دست آوردن کنترل عمیق تر شبکه و تسهیل سرقت اطلاعات حساس استفاده کرد.
تالر گفت: «پیچیدگی کم و امتیازات مورد نیاز باعث میشود تا این اکسپلویت به راحتی قابل استفاده باشد. عاملان تهدید میتوانند از این آسیبپذیری برای انتشار برنامههای افزودنی مخرب جعلی به قصد به خطر انداختن سیستمها استفاده کنند.»
Dolev Taler، محقق Varonis، گفت: «یک عامل تهدید میتواند جعل یک ناشر محبوب باشد و یک برنامه افزودنی مخرب برای به خطر انداختن یک سیستم هدف صادر کند. افزونههای مخرب برای سرقت اطلاعات حساس، دسترسی بیصدا و تغییر کد، یا کنترل کامل یک سیستم استفاده شدهاند.»
این آسیبپذیری که بهعنوان CVE-2023-28299 ردیابی میشود (امتیاز CVSS: 5.5)، توسط مایکروسافت به عنوان بخشی از بهروزرسانیهای Patch Tuesday برای آوریل 2023 مورد بررسی قرار گرفت و آن را به عنوان یک نقص جعل توصیف کرد.
باگ کشف شده توسط Varonis مربوط به رابط کاربری ویژوال استودیو است که امکان جعل امضاهای دیجیتال ناشر را فراهم می کند.
به طور خاص، با باز کردن یک بسته برنامه افزودنی ویژوال استودیو (VSIX) به عنوان یک فایل زیپ و سپس اضافه کردن دستی کاراکترهای خط جدید به تگ «DisplayName» در برچسب، محدودیتی را که کاربران را از وارد کردن اطلاعات در ویژگی پسوند «نام محصول» جلوگیری میکند دور میزند. فایل "extension.vsixmanifest".
مایکروسافت ویژوال استودیو نصب کننده
با معرفی کاراکترهای خط جدید کافی در فایل vsixmanifest و افزودن متن جعلی "امضای دیجیتال"، مشخص شد که هشدارهای مربوط به عدم امضای دیجیتالی افزونه را می توان به راحتی سرکوب کرد و در نتیجه توسعه دهنده را فریب داد تا آن را نصب کند.
در یک سناریوی حمله فرضی، یک بازیگر بد میتواند با استتار کردن آن بهعنوان یک بهروزرسانی نرمافزار قانونی، یک ایمیل فیشینگ حاوی پسوند جعلی VSIX ارسال کند و پس از نصب، جای پایی در دستگاه مورد نظر پیدا کند.
سپس از این دسترسی غیرمجاز می توان به عنوان سکوی پرتاب برای به دست آوردن کنترل عمیق تر شبکه و تسهیل سرقت اطلاعات حساس استفاده کرد.
تالر گفت: «پیچیدگی کم و امتیازات مورد نیاز باعث میشود تا این اکسپلویت به راحتی قابل استفاده باشد. عاملان تهدید میتوانند از این آسیبپذیری برای انتشار برنامههای افزودنی مخرب جعلی به قصد به خطر انداختن سیستمها استفاده کنند.»