Нова критична уязвимост във VS Code, използвана за кражба на достъп
Изследователят Амар Аскар публикува експлойт код за zero-day уязвимост във Visual Studio Code, която позволява кражба на GitHub OAuth токени чрез измамни линкове и злоупотреба със системата за разширения.
Уязвимостта засяга сценарии, при които потребителите работят в уеб средата github.dev и се възползва от начина, по който редакторът обработва комуникацията между изолираните webview компоненти и основния интерфейс.
Това позволява на атакуващите да получат неоторизиран достъп до акаунти в GitHub.
Как работи атаката: манипулация на webview и симулация на действия
Според описанието, експлойтът използва JavaScript в webview среда, за да:
- симулира действия на потребителя (keypress-и)
- инсталира злонамерено разширение
- прихване OAuth токен, изпратен към github.dev
- използва токена за заявки към GitHub API
- извлече списък с всички частни репозитории
Ключовият проблем е, че токенът не е ограничен само до конкретно хранилище, а предоставя широк достъп до всички ресурси на потребителя.
Сериозен риск: пълен достъп до частни проекти
Тази уязвимост е особено опасна, защото комбинира:
- доверена уеб среда (github.dev)
- OAuth токени с широки права
- възможност за социално инженерство чрез линкове
- инсталация на разширения без ясно предупреждение
Резултатът е потенциално пълно компрометиране на частни репозитории, включително фирмени проекти и чувствителен код.
Липса на CVE и напрежение с Microsoft
Към момента уязвимостта няма официален CVE идентификатор и не е издаден пач.
Изследователят е уведомил GitHub малко преди публичното разкриване, но е избрал директна публична публикация, позовавайки се на негативен опит със системата на Microsoft Security Response Center.
Microsoft
GitHub
Според него предишни доклади за уязвимости са били „тихо поправяни“, без признание за изследователя или ясно оценяване на риска.
По-широк контекст: серия от zero-day разкрития
Случаят се вписва в по-широка тенденция на публични разкрития от независими изследователи, включително известния под псевдонима Найтмейр Еклипс.
Той е публикувал множество уязвимости в Microsoft продукти, включително:
- привилегировани ескалации
- обход на защити
- блокиране на защитни обновления
Тези действия показват нарастващо напрежение между изследователската общност и Microsoft.
Реакция на Microsoft и GitHub
От страна на компаниите позицията остава балансирана:
- признаване на ролята на изследователите
- ангажимент за бързи реакции
- работа по мерки и защити
- оставяне на свобода за публично разкриване
Въпреки това, липсата на официален пач засилва риска от активна експлоатация в реални атаки.
Временни мерки за защита
Докато няма официална корекция, се препоръчва:
- изчистване на cookies и site data за github.dev
- преглед на OAuth разрешения в GitHub акаунта
- избягване на непознати линкове към VS Code web средата
- ограничаване на инсталацията на разширения
Уязвимостта в Visual Studio Code показва колко уязвими остават модерните разработки, когато се комбинират браузърни среди, OAuth механизми и разширения.
Случаят подчертава необходимостта от по-строг контрол върху токените, по-добра изолация на webview компонентите и по-бърза координация между платформи като GitHub и Microsoft.
