安全研究人员警告称,微软Visual Studio安装程序中存在一个“易于被利用”的漏洞,恶意行为者可能会滥用这个漏洞,冒充合法出版商并分发恶意扩展。
Varonis研究员Dolev Taler表示:“威胁行为者可以冒充一个热门的出版商,发布一个恶意扩展,以便侵害目标系统。恶意扩展已被用来窃取敏感信息,无声地访问和修改代码,或者完全控制一个系统。”
该漏洞被追踪为CVE-2023-28299(CVSS评分:5.5),微软在其2023年4月的Patch Tuesday更新中进行了解决,描述为欺骗漏洞。
Varonis发现的这个漏洞与Visual Studio用户界面有关,该界面允许伪造出版商的数字签名。
具体来说,它轻而易举地绕过了一个限制,该限制阻止用户在“产品名称”扩展属性中输入信息,通过将Visual Studio扩展(VSIX)包作为.ZIP文件打开,然后在“extension.vsixmanifest”文件的“DisplayName”标签中手动添加新行字符。
通过在vsixmanifest文件中引入足够的新行字符,并添加假的“数字签名”文本,研究人员发现,可以轻易地抑制关于扩展未被数字签名的警告,从而欺骗开发人员安装它。
在一个假设的攻击场景中,恶意行为者可以发送一个带有伪造的VSIX扩展的网络钓鱼电邮,将其伪装成一个合法的软件更新,然后在安装后,侵入目标机器。
未经授权的访问可以被用作一个跳板,深入控制网络,促成敏感信息的盗窃。
Taler说:“这种利用的复杂性低,所需的权限也少,使得这个漏洞很容易被武器化。威胁行为者可以利用这个漏洞发布伪造的恶意扩展,意图侵犯系统。”
原文始发于微信公众号(XDsecurity):威胁情报信息分享|研究人员发现微软Visual Studio安装程序中的欺骗漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论