Los investigadores de seguridad han advertido sobre una vulnerabilidad "fácilmente explotable" en el instalador de Microsoft Visual Studio que podrÃa ser aprovechada por un actor malicioso para suplantar a un editor legÃtimo y distribuir extensiones maliciosas.
"Un actor amenazante podrÃa suplantar a un editor popular y emitir una extensión maliciosa para comprometer un sistema objetivo", dijo el investigador de Varonis, Dolev Taler. "Las extensiones maliciosas se han utilizado para robar información confidencial, acceder y cambiar el código en silencio o tomar el control total de un sistema".
La vulnerabilidad, que se rastrea como CVE-2023-28299 (puntuación CVSS: 5.5), fue abordada por Microsoft como parte de sus actualizaciones de Patch Tuesday para abril de 2023, describiéndola como una falla de suplantación. El error descubierto por Varonis tiene que ver con la interfaz de usuario de Visual Studio, que permite firmas digitales falsificadas de editores.
EspecÃficamente, el error evita fácilmente una restricción que impide a los usuarios ingresar información en la propiedad de "nombre del producto" de la extensión, abriendo un paquete de extensión de Visual Studio (VSIX) como un archivo .ZIP y luego agregando manualmente caracteres de nueva lÃnea a la etiqueta "DisplayName" en el archivo "extension.vsixmanifest".
Al introducir suficientes caracteres de nueva lÃnea en el archivo vsixmanifest y agregar texto falso de "Firma digital", se descubrió que las advertencias sobre la extensión no estar firmada digitalmente se pueden suprimir fácilmente, engañando asà a un desarrollador para que la instale. En un escenario hipotético de ataque, un actor malintencionado podrÃa enviar un correo electrónico de phishing que contenga la extensión VSIX falsificada, camuflándola como una actualización de software legÃtima y, después de la instalación, obtener un punto de apoyo en la máquina objetivo.
El acceso no autorizado podrÃa luego utilizarse como punto de partida para obtener un control más profundo de la red y facilitar el robo de información confidencial. "La baja complejidad y los privilegios requeridos hacen que esta explotación sea fácil de utilizar", dijo Taler. "Los actores amenazantes podrÃan utilizar esta vulnerabilidad para emitir extensiones maliciosas falsificadas con la intención de comprometer sistemas".
¿Quieres saber más?