top of page

Investigadores descubren un error de suplantación de editor en instalador de Microsoft VSC



Los investigadores de seguridad han advertido sobre una vulnerabilidad "fácilmente explotable" en el instalador de Microsoft Visual Studio que podría ser aprovechada por un actor malicioso para suplantar a un editor legítimo y distribuir extensiones maliciosas.


"Un actor amenazante podría suplantar a un editor popular y emitir una extensión maliciosa para comprometer un sistema objetivo", dijo el investigador de Varonis, Dolev Taler. "Las extensiones maliciosas se han utilizado para robar información confidencial, acceder y cambiar el código en silencio o tomar el control total de un sistema".


La vulnerabilidad, que se rastrea como CVE-2023-28299 (puntuación CVSS: 5.5), fue abordada por Microsoft como parte de sus actualizaciones de Patch Tuesday para abril de 2023, describiéndola como una falla de suplantación. El error descubierto por Varonis tiene que ver con la interfaz de usuario de Visual Studio, que permite firmas digitales falsificadas de editores.


Específicamente, el error evita fácilmente una restricción que impide a los usuarios ingresar información en la propiedad de "nombre del producto" de la extensión, abriendo un paquete de extensión de Visual Studio (VSIX) como un archivo .ZIP y luego agregando manualmente caracteres de nueva línea a la etiqueta "DisplayName" en el archivo "extension.vsixmanifest".


Al introducir suficientes caracteres de nueva línea en el archivo vsixmanifest y agregar texto falso de "Firma digital", se descubrió que las advertencias sobre la extensión no estar firmada digitalmente se pueden suprimir fácilmente, engañando así a un desarrollador para que la instale. En un escenario hipotético de ataque, un actor malintencionado podría enviar un correo electrónico de phishing que contenga la extensión VSIX falsificada, camuflándola como una actualización de software legítima y, después de la instalación, obtener un punto de apoyo en la máquina objetivo.


El acceso no autorizado podría luego utilizarse como punto de partida para obtener un control más profundo de la red y facilitar el robo de información confidencial. "La baja complejidad y los privilegios requeridos hacen que esta explotación sea fácil de utilizar", dijo Taler. "Los actores amenazantes podrían utilizar esta vulnerabilidad para emitir extensiones maliciosas falsificadas con la intención de comprometer sistemas".


¿Quieres saber más?


25 visualizaciones0 comentarios

コメント


bottom of page