研究人员发现 Microsoft Visual Studio 安装程序中的发布者欺骗漏洞
Varonis 研究员 Dolev Taler 说:“威胁行为者可以冒充受欢迎的出版商并发布恶意扩展以破坏目标系统。” “恶意扩展已被用来窃取敏感信息、悄悄访问和更改代码,或完全控制系统。”
该漏洞被跟踪为 CVE-2023-28299(CVSS 评分:5.5),微软在 2023 年 4 月的周二补丁更新中解决了该漏洞,并将其描述为欺骗漏洞。
Varonis 发现的漏洞与 Visual Studio 用户界面有关,该界面允许伪造发布者数字签名。
具体来说,它通过将 Visual Studio 扩展 (VSIX) 包作为 .ZIP 文件打开,然后手动将换行符添加到“产品名称”扩展属性中,然后手动将换行符添加到 “extension.vsixmanifest”文件。
通过在 vsixmanifest 文件中引入足够多的换行符并添加伪造的“数字签名”文本,我们发现可以轻松抑制有关扩展未进行数字签名的警告,从而诱使开发人员安装它。
在假设的攻击场景中,不良行为者可以发送一封带有欺骗性 VSIX 扩展名的网络钓鱼电子邮件,方法是将其伪装成合法的软件更新,并在安装后进入目标机器。
然后,未经授权的访问可以用作启动板,以更深入地控制网络并促进窃取敏感信息。
Taler 说:“所需的低复杂性和特权使得这种漏洞很容易被武器化。” “威胁行为者可以利用此漏洞发布欺骗性的恶意扩展程序,目的是破坏系统。”
Varonis 发现的漏洞与 Visual Studio 用户界面有关,该界面允许伪造发布者数字签名。
具体来说,它通过将 Visual Studio 扩展 (VSIX) 包作为 .ZIP 文件打开,然后手动将换行符添加到“产品名称”扩展属性中,然后手动将换行符添加到 “extension.vsixmanifest”文件。
通过在 vsixmanifest 文件中引入足够多的换行符并添加伪造的“数字签名”文本,我们发现可以轻松抑制有关扩展未进行数字签名的警告,从而诱使开发人员安装它。
在假设的攻击场景中,不良行为者可以发送一封带有欺骗性 VSIX 扩展名的网络钓鱼电子邮件,方法是将其伪装成合法的软件更新,并在安装后进入目标机器。
然后,未经授权的访问可以用作启动板,以更深入地控制网络并促进窃取敏感信息。
Taler 说:“所需的低复杂性和特权使得这种漏洞很容易被武器化。” “威胁行为者可以利用此漏洞发布欺骗性的恶意扩展程序,目的是破坏系统。”
关于作者
评论1次
感谢大佬分享,谢谢