安全研究人員警告說，微軟Visual Studio安裝程序中存在一個漏洞，該漏洞使網(wǎng)絡(luò)攻擊者能夠偽裝成合法的軟件發(fā)行商，創(chuàng)建并向應(yīng)用程序開發(fā)人員分發(fā)惡意擴展。從那里，他們可以滲透到開發(fā)環(huán)境中，控制、毒害代碼、竊取高價值的知識產(chǎn)權(quán)等等。

微軟在4月份的月度安全更新中發(fā)布了針對該欺騙漏洞的補丁(編號為cve -2023-28299)。當時，該公司將該漏洞描述為中等嚴重程度，并將其評估為攻擊者不太可能利用的漏洞。但在本周的一篇博客中，發(fā)現(xiàn)該漏洞的瓦洛尼斯研究人員最初對該漏洞及其潛在影響提出了略微不同的看法。

根據(jù)帖子，這個漏洞值得關(guān)注，因為它很容易被利用，并且存在于一個擁有26%市場份額和3萬多客戶的產(chǎn)品中。

Varonis安全研究員Dolor Taler寫道:“通過Varonis威脅實驗室發(fā)現(xiàn)的UI漏洞，威脅行為者可以冒充流行的出版商并發(fā)布惡意擴展來破壞目標系統(tǒng)。惡意擴展被用來竊取敏感信息，默默地訪問和更改代碼，或者完全控制系統(tǒng)?！?/p>

Varonis發(fā)現(xiàn)的漏洞影響了多個版本的Visual Studio集成開發(fā)環(huán)境(IDE)，從Visual Studio 2017到Visual Studio 2022。任何人都可以輕易地繞過Visual Studio中的安全限制，該限制阻止用戶在產(chǎn)品名擴展屬性中輸入信息。

Taler發(fā)現(xiàn)，攻擊者可以通過簡單地打開Visual Studio擴展(VSIX)包作為. zip文件，然后手動在擴展中的標記中添加換行符來繞過該控制。換行符是開發(fā)人員用來表示文本行結(jié)束的字符，因此光標移動到屏幕上下一行的開始。

Taler發(fā)現(xiàn)，通過在擴展名中添加足夠的換行字符，攻擊者可以強制將Visual Studio安裝程序中的所有其他文本下推，從而隱藏任何關(guān)于擴展未被數(shù)字簽名的警告。

塔勒說:“由于威脅行為者控制了擴展名下的區(qū)域，他們可以很容易地添加虛假的數(shù)字簽名文本，用戶可以看到，看起來是真的。”

瓦羅尼斯說：“攻擊者有多種選擇，大多數(shù)涉及網(wǎng)絡(luò)釣魚或其他社會工程向軟件開發(fā)人員提供惡意擴展，并利用它來破壞他們的系統(tǒng)。然后，他們可以將其用作進入組織的開發(fā)生態(tài)系統(tǒng)和其他目標豐富的環(huán)境的跳板?！?/strong>