Търсене
Close this search box.

Редакторът на код и средата за разработка Visual Studio Code (VS Code) на Microsoft съдържа недостатък, който позволява на злонамерени разширения да извличат токени за удостоверяване, съхранявани в мениджъри на удостоверения за Windows, Linux и macOS.

Тези токени се използват за интегриране с различни услуги и API на трети страни, като Git, GitHub и други платформи за кодиране, така че кражбата им може да има значителни последици за сигурността на данните на компрометираната организация, като може да доведе до неоторизиран достъп до системата, нарушаване на сигурността на данните и др.

Недостатъкът е открит от изследователи на Cycode, които са го докладвали на Microsoft заедно с разработената от тях работеща концепция за доказване на съществуването (PoC). Въпреки това технологичният гигант реши да не отстранява проблема, тъй като не се очаква разширенията да бъдат изолирани от останалата част от средата.

Кражба на тайни с разширения

Проблемът със сигурността, открит от Cycode, се дължи на липсата на изолация на удостоверителните знаци в „Secret Storage“ на VS Code – API, който позволява на разширенията да съхраняват удостоверителни знаци в операционната система.

Това се прави с помощта на Keytar, обвивката на VS Code за комуникация с мениджъра на удостоверенията на Windows (в Windows), ключодържателя (в macOS) или ключодържателя (за Linux).

Това означава, че всяко разширение, работещо във VS Code, дори злонамерено, може да получи достъп до тайното хранилище и да злоупотреби с Keytar, за да извлече всички съхранени токени.

Изследователят на Cycode Алекс Илгаев заяви, че освен вградената автентикация на GitHub и Microsoft, всички запазени удостоверения от използването на разширения на трети страни.

„Освен вградената автентикация на Github/Microsoft, всички запазени токени във VSCode идват от разширения“, каза Илгаев . „Те са дефинирани или от официални разширения (от Microsoft), като Git, Azure, Docker/Kubernetes и т.н., или от разширения на трети страни, като CircleCI, GitLab, AWS.“

 

След като откриват проблема, изследователите на Cycode започват да експериментират, като създават злонамерено разширение за кражба на токени за CircleCI – популярна платформа за кодиране с разширения VS Code. Те са направили това, като са модифицирали разширението на CircleCI, за да изпълни команда, която да разкрие защитения му токен и дори да го изпрати направо на сървъра на изследователя.

Постепенно те разработили по-универсален метод за атака, за да извлекат тези тайни, без да се намесват в кода на целевото разширение.

Ключът към този процес беше откриването на факта, че всяко разширение на VS Code е оторизирано за достъп до ключодържателя, тъй като се изпълнява от приложение, на което операционната система вече е предоставила достъп до ключодържателя.

„Разработихме доказателство за концепцията за злонамерено разширение, което успешно извличаше токени не само от други разширения, но и от вградената във VS Code функционалност за влизане и синхронизиране на акаунти в GitHub и Microsoft, представяйки атака „кражба на токени“.“ – заявиха от Cycode.
След това изтеглените токени трябваше да бъдат декриптирани и Cycode установи, че алгоритъмът, използван за криптиране на токените, е AES-256-GCM, който обикновено е безопасен. Въпреки това ключът, използван за криптиране на токените, е получен от пътя на текущия изпълним файл и идентификатора на машината, което улеснява пресъздаването на ключа.

Извлечените токени бяха декриптирани от персонализиран JS скрипт, стартиран в изпълнимия файл Electron на VS Code, който дешифрира и отпечатва всички пароли на локално инсталираните разширения.

Вторият недостатък, открит от изследователите на Cycode, се състои в това, че функцията „getFullKey“ извлича тайни по зададен „extensionId“, който се получава от името и издателя на разширението.

Този проблем позволява на всеки да модифицира тези полета и да измами VS Code да му предостави достъп до защитените токени на друго разширение.

Cycode тества това с помощта на PoC разширение, което отново имитира CircleCI; те обаче отбелязват, че възпроизвеждането на всяко друго разширение и получаването на достъп до тайните му би било тривиално.

Разкриване и (не)поправяне

От Cycode заявяват, че са разкрили проблема пред Microsoft преди два месеца, като дори са демонстрирали своето PoC разширение и способността му да краде съхранени токени за разширения.

Независимо от това инженерите на Microsoft не са сметнали това за проблем на сигурността и са решили да запазят съществуващия дизайн на рамката за управление на съхранението на тайните на VS Code.

Инфографики и базова информация: Cycode

 

 

Източник: e-security.bg

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
12 декември 2024

Телевизията на шотландския парламент е изложена...

Дълбоките фалшификати се превръщат в заплаха за записите и видеопот...
Бъдете социални
Още по темата
12/12/2024

Изследователи разбиват Micr...

Изследователи разбиха метод за многофакторно удостоверяване...
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
10/12/2024

Пач вторник: Редмънд закърп...

Софтуерният гигант Microsoft разпространи във вторник...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!