Scoperto un bug di spoofing nell’installer di Microsoft Visual Studio

I ricercatori di sicurezza Varonis hanno avvertito circa un difetto nel programma di installazione di Microsoft Visual Studio che potrebbe essere sfruttato facilmente da un attore malevolo per impersonare un publisher legittimo e distribuire estensioni dannose.

La vulnerabilità

La vulnerabilità in oggetto è un difetto dell’interfaccia utente in Microsoft Visual Studio che potrebbe consentire lo spoofing delle firme digitali del publisher. Precisamente il bug consentirebbe di aggirare una restrizione che impedisce agli utenti di inserire informazioni nella proprietà dell’estensione “Name Product”, semplicemente andando ad aprire un pacchetto di estensione di Visual Studio (VSIX) come file .ZIP e quindi aggiungendo manualmente caratteri newline al tag <DisplayName> nel file “extension.vsixmanifest“.

Infatti introducendo un numero sufficiente di caratteri newline e un falso testo “Digital Signature”, i ricercatori hanno scoperto che gli avvisi relativi all’estensione non firmata digitalmente potrebbero essere facilmente nascosti, inducendo così uno sviluppatore a installarla.

Modifica del tag <DisplayName> (Fonte Varonis)

Quando viene aggiunto un numero sufficiente di caratteri newline al nome dell’estensione, tutto il resto del testo nel prompt di installazione di Visual Studio viene spinto verso il basso, il che nasconde efficacemente l’avviso “Digital Signature: none”, spiega il ricercatore di sicurezza Dolev Taler.

Estensione reale con firma digitale valida (Fonte Varonis)
Estensione con firma falsificata (Fonte Varonis)

Lo scenario d’attacco

In un ipotetico scenario di attacco, un malintenzionato potrebbe inviare un’e-mail di phishing contenente l’estensione VSIX falsificata spacciandola come un aggiornamento software legittimo e, dopo l’installazione, ottenere un accesso non autorizzato per un controllo della rete e il furto di informazioni sensibili.

Consigli

La vulnerabilità identificata come CVE-2023-28299 è stata risolta da Microsoft con il Patch Tuesday dell’11 aprile 2023. Poiché i sistemi privi di patch rimangono vulnerabili, si consiglia di applicare la correzione fornita da Microsoft e di monitorare eventuali attività sospette.

Varonis Threat Labs ha divulgato il suo rapporto, in modo responsabile, solo dopo il rilascio della patch.

Su Salvatore Lombardo 296 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.