Clicky

Descubren un error de suplantación de identidad en el instalador de Microsoft Visual Studio

Microsoft Visual Studio

La interfaz de usuario de Visual Studio permite firmas digitales de editores falsificadas

Los investigadores de seguridad advirtieron sobre una falla "fácilmente explotable" en el instalador de Microsoft Visual Studio que podría ser abusada por un actor malicioso para hacerse pasar por un editor legítimo y distribuir extensiones maliciosas.

"Un actor de amenazas podría hacerse pasar por un popular editor y emitir una extensión maliciosa para comprometer un sistema objetivo", dijo el investigador de Varonis Dolev Taler. "Se han utilizado extensiones maliciosas para robar información confidencial, acceder y cambiar el código de forma silenciosa, o tomar el control total de un sistema".

Microsoft abordó la vulnerabilidad, que se rastrea como CVE-2023-28299 (puntaje CVSS: 5.5), como parte de sus actualizaciones de parches del martes de abril de 2023, describiéndola como una falla de suplantación de identidad.

El error descubierto por Varonis tiene que ver con la interfaz de usuario de Visual Studio, que permite firmas digitales de editores falsificadas.

Específicamente, pasa por alto de manera trivial una restricción que impide que los usuarios ingresen información en la propiedad de extensión "nombre del producto" al abrir un paquete de Extensión de Visual Studio (VSIX) como un archivo .ZIP y luego agregue manualmente caracteres de nueva línea a la etiqueta "DisplayName" en el archivo "extension.vsixmanifest".

instalador vsix

Al introducir suficientes caracteres de nueva línea en el archivo vsixmanifest y agregar texto falso de "Firma digital", se descubrió que las advertencias sobre la extensión que no está firmada digitalmente podrían suprimirse fácilmente, engañando así a un desarrollador para que la instale.

En un hipotético escenario de ataque, un mal actor podría enviar un correo electrónico de phishing con la extensión VSIX falsificada camuflándolo como una actualización de software legítima y, después de la instalación, afianzarse en la máquina objetivo.

El acceso no autorizado podría utilizarse como plataforma de lanzamiento para obtener un control más profundo de la red y facilitar el robo de información confidencial.

"La baja complejidad y los privilegios necesarios hacen que este exploit sea fácil de armar", dijo Taler. "Los actores de amenazas podrían usar esta vulnerabilidad para emitir extensiones maliciosas falsificadas con la intención de comprometer los sistemas".