Die Sicherheitsforscher der Varonis Threat Labs warnen vor einem Fehler (CVE-2023-28299) im Microsoft Visual Studio-Installationsprogramm, der es Cyberangreifern ermöglicht, den Anschein eines legitimen Softwareherstellers zu erwecken und so bösartige Erweiterungen zu erstellen und an Anwendungsentwickler zu verteilen.
Von dort aus können sie in Entwicklungsumgebungen eindringen, die Kontrolle übernehmen, Code manipulieren und wertvolles geistiges Eigentum stehlen. Aufgrund der niedrigen Komplexität und der geringen notwendigen Berechtigungen lässt sich diese Schwachstelle leicht für Angriffe nutzen.
Microsoft Visual Studio ist eine weitverbreitete Entwicklungsumgebung für verschiedene Programmiersprachen. Mit dem von den Varonis Threat Labs entdeckten UI-Bug kann sich ein Angreifer als beliebter Herausgeber ausgeben und eine bösartige Erweiterung veröffentlichen, um ein Zielsystem zu kompromittieren.
So wurden bereits bösartige Erweiterungen verwendet, um sensible Informationen zu stehlen, unbemerkt auf Code zuzugreifen und diesen zu ändern oder die vollständige Kontrolle über ein System zu übernehmen.
Aus Sicherheitsgründen lässt Visual Studio keine Zeilenumbrüche innerhalb des Namens einer Erweiterung zu. Auf diese Weise soll verhindert werden, dass User Informationen in die Erweiterungseigenschaft „Produktname“ eingeben können. Dies kann jedoch leicht umgangen werden, indem man die VSIX als ZIP-Datei öffnet und dem Tag <DisplayName> unter der Datei manuell Zeilenumbrüche hinzufügt: „extension.vsixmanifest“.
Wenn dem Erweiterungsnamen genügend Zeilenumbrüche hinzugefügt werden, wird der gesamte andere Text in der Visual Studio-Installationsaufforderung nach unten verschoben, wodurch die Warnung „Digital Signature: None.“ nicht mehr sichtbar ist. Da der Bereich unter dem Namen der Erweiterung editiert werden kann, können Angreifer hier einfach einen gefälschten „Digital Signature“-Text hinzufügen, der für die Benutzer sichtbar ist und echt zu sein scheint.
Ablauf eines Angriffs:
- Der Angreifer sendet eine E-Mail an die Entwickler des Unternehmens, getarnt als legitimes Software-Update.
- In der E-Mail fügt der Angreifer eine gefälschte VSIX-Erweiterung an, die die legitime Erweiterung imitiert.
- Das Opfer kann die gefälschte bösartige VSIX-Erweiterung nicht von einem echten, signierten Update unterscheiden und installiert die bösartige VSIX-Erweiterung.
- Nach der Implementierung einer manipulierten Payload in die Erweiterung kompromittiert der Angreifer den Computer des Opfers und verschafft sich so einen ersten Zugriff auf das Unternehmen.
- Nun kann sich der Angreifer innerhalb des angegriffenen Unternehmens weiterbewegen und so möglicherweise geistiges Eigentum und vertrauliche Daten entwenden.
Microsoft hat mittlerweile einen entsprechenden Patch veröffentlicht. Nutzer sollten diesen dringend installieren und auf verdächtige Aktivitäten achten.