Foto: BleepingComputer
Sigurnosni istraživač objavio je exploit kod za zero-day ranjivost u Visual Studio Codeu (VS Code) koja napadačima može omogućiti krađu GitHub autentikacijskih tokena ako korisnik klikne na zlonamjernu poveznicu. Prema opisu istraživača Ammara Askara, problem pogađa način na koji VS Code rukuje webview porukama u sandboxiranom okruženju, a napad se može odigrati kroz github.dev, verziju VS Codea u pregledniku koju se koristi za rad s GitHub repozitorijima.
Askar navodi da se napad može iskoristiti za instalaciju zlonamjernih ekstenzija koje presreću GitHub OAuth tokene kada se oni prosljeđuju usluzi github.dev. U objavljenom proof-of-conceptu iskorištava se izvršavanje zlonamjernog JavaScripta unutar webviewa kako bi se simulirali pritisci tipki u glavnom editoru, instalirala ekstenzija i zatim izdvojio GitHub OAuth token. Nakon toga se, kako navodi istraživač, može pristupiti GitHub API-ju i popisati privatne repozitorije kojima žrtva ima pristup.
Istraživač je rekao da je o bug-u obavijestio GitHub sat vremena prije javne objave te da je odmah odlučio sve javno objaviti zbog prethodnog negativnog iskustva s Microsoftovim sigurnosnim postupkom odgovora. U svojoj objavi naveo je i da je ranije prijavljeni VS Code bug navodno tiho ispravljen bez priznanja ili napomene o sigurnosnom utjecaju, zbog čega ubuduće planira potpunu javnu objavu za sigurnosne propuste koje pronađe u VS Codeu.
Ranjivost zasad nije zakrpana i još nije dobila CVE oznaku. Korisnicima VS Codea savjetuje se da u pregledniku za github.dev obrišu kolačiće i lokalne podatke web-mjesta preko ikone Settings u adresnoj traci, a zatim kroz Cookies and site data > Manage on-device site data. Prema opisu istraživača, time bi se pri pokušaju iskorištavanja trebala pojaviti poruka da ekstenzija “GitHub Repositories” želi prijavu putem GitHuba, umjesto da se napad odvije bez upozorenja.
Vezane vijesti
