研究员:这一 VisualStudio漏洞需警惕
发布时间:2023-06-12 10:45:33 所属栏目:安全 来源:
导读:据Dark Reading消息,Varonis安全专业人员警告称,微软此前修复的一个Visual Studio安装功能漏洞危害不可小视,攻击者可以利用此漏洞伪装成合法的软件,创建和分发恶意扩展程序,对开发环境进行渗透,从而掌控代码、
|
据Dark Reading消息,Varonis安全专业人员警告称,微软此前修复的一个Visual Studio安装功能漏洞危害不可小视,攻击者可以利用此漏洞伪装成合法的软件,创建和分发恶意扩展程序,对开发环境进行渗透,从而掌控代码、窃取高价格的知识产权。 该漏洞被追踪为CVE-2023-28299,当时的微软已在今年4月份的月度操作系统安全更新中不止一次地发布了一系列修复漏洞的补丁。当时微软将其描述为“中等”严重性漏洞,并评估称黑客不太可能利用的漏洞。Varonis公司研究员 Dolor Taler在一篇博客文章中对漏洞及其潜在的影响提出了不同的看法,指出漏洞易于利用,且存在于一款市场占有率为26%且客户超过3万家的产品中。 攻击者可以通过将Visual Studio Extension(VSIX)包作为.zip文件打开,然后手动向“extension.vsixmanifest”文件中的标记添加换行符来绕过该文件。通过向扩展名称添加足够多的换行符,攻击者可以强制下载 Visual Studio 安装程序中的所有其他文本,从而隐藏任何关于扩展未进行数字签名的警告。由于攻击者控制了扩展名下的区域,他们可以轻松添加使用户看起来以为是真实的虚假‘数字签名’文本。 Taler表示,攻击者有多种方法将恶意扩展程序感染到软件开发人员的系统中,大多数方法涉及钓鱼或其他社交工程。随后,这些恶意程序可以将其用作进入组织的开发生态系统和其他目标环境的起点。 Taler提到了近期LastPass的遭遇,通过利用计算机媒体播放器中的漏洞,攻击者对其软件开发系统进行了有针对性的入侵,最终获取了数千万用户及上万家公司的密码数据。 Varonis安全研究经理Dvir Sason补充说认为,其他感染途径可能始于含有模仿真实VSIX扩展的欺骗性电子邮件。后者可能是一个包含破解软件的网站。他认为,由于是以开发人员为目标,其攻击目的可能不是为了破坏对方网络,对知识产权的窃取反而更加有利可图。因此,这个网站的存在是一个非常危险的信号。在互联网上,有许多不法分子利用这个漏洞进行网络犯罪活动。 (编辑:驾考网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
