Bug encontrado permite que um invasor se passe por um editor e emita uma extensão maliciosa para comprometer um sistema visado
O Varonis Threat Labs encontrou um bug de interface do usuário facilmente explorável no instalador de extensão do Microsoft Visual Studio, que permite que um invasor falsifique uma assinatura e represente efetivamente qualquer editor. A Microsoft lançou um patch para CVE-2023-28299 em 11 de abril de 2023.
Os sistemas não corrigidos permanecem vulneráveis a agentes de ameaças que emitem extensões maliciosas direcionadas para comprometer os sistemas. De acordo com os pesquisadores da Varonis, o bug merece atenção porque é facilmente explorável e existe em um produto com 26% de participação no mercado e mais de 30.000 clientes.
De acordo com Dolor Taler, pesquisadora de segurança da Varonis, com o bug da interface do usuário encontrado pelo Varonis Threat Labs, um agente de ameaças pode se passar por um editor e emitir uma extensão maliciosa para comprometer um sistema de destino. “Extensões maliciosas foram usadas para roubar informações confidenciais, acessar e alterar códigos silenciosamente ou assumir o controle total de um sistema”, detalhou.
A vulnerabilidade descoberta pela Varonis afeta várias versões do ambiente de desenvolvimento integrado (IDE) do Visual Studio, do Visual Studio 2017 ao Visual Studio 2022. A falha envolve a capacidade de qualquer pessoa contornar facilmente uma restrição de segurança no Visual Studio que impede os usuários de inserir informações na propriedade de extensão.
Os pesquisadores descobriram que um invasor poderia contornar esse controle simplesmente abrindo um pacote do Visual Studio Extension (VSIX) como um arquivo .ZIP e adicionando manualmente caracteres de nova linha a uma marca no arquivo. Um caractere de nova linha é algo que os desenvolvedores usam para denotar o fim de uma linha de texto, de modo que o cursor se move para o início da próxima linha na tela.
Taler explica que adicionando caracteres de nova linha suficientes ao nome da extensão, um invasor poderia forçar todos os outros textos no instalador do Visual Studio a serem baixados, ocultando assim qualquer aviso sobre a extensão não estar assinada digitalmente. “E como um agente de ameaça controla a área sob o nome da extensão, ele pode facilmente adicionar um texto falso de ‘Assinatura Digital’, visível para o usuário e parecendo genuíno”, explicou Taler.
Recomendações da Microsoft
A Microsoft reconheceu essa exploração, atribuiu a ela o identificador CVE-2023-28299 e incluiu uma correção na atualização Patch Tuesday de 11 de abril de 2023. O Varonis Threat Labs adiou a divulgação até que uma correção pudesse ser emitida, e assim não dar pistas aos invasores.
A Varonis recomenda que todos os sistemas potencialmente vulneráveis apliquem o patch fornecido pela Microsoft e monitorem qualquer atividade suspeita.