Turvauurija lekitas Microsofti VS Code’i turvanõrkuse avalikult

Turvauurija Ammar Askar avalikustas Visual Studio Code’i (VS Code) turvanõrkuse koos ründekoodiga vaid tund aega pärast seda, kui teavitas sellest oma kontakti GitHubis — jättes kõrvale tavapärase vastutustundliku avalikustamise protsessi. Askar põhjendas otsust varasemate halbade kogemustega Microsofti turvaprobleemide käsitlemisel: MSRC parandas tema leitud vea vaikselt ilma tunnustuseta ja märkis selle turvaohutuna.

Leitud turvanõrkus mõjutab kõiki, kes on kasutanud github.dev funktsiooni, mis avab GitHubi repositooriumi brauseripõhises VS Code’is. Probleem seisneb selles, et github.com edastab github.dev-le OAuth-žetooni, mis ei ole piiratud ainult avatud repositooriumiga — ründaja saab selle abil ligi kõikidele sihtmärgi repositooriumidele, nii avalikele kui ka privaatsetele.

Rünnak toimib järgmiselt: ründaja meelitab kasutaja avama pahatahtliku repositooriumi github.dev kaudu, kus on peidetud HTML-kood Jupyter Notebooki failis. See käivitab automaatselt klaviatuurikombinatsiooni simulatsiooni, mis paneb VS Code’i pahatahtliku laienduse installimise kinnitama ilma kasutaja teadliku nõusolekuta. Laiendus varastab seejärel OAuth-žetooni.

Loe täispikka artiklit: The Register

Lisa kommentaar