I ricercatori di sicurezza Varonis hanno avvertito circa un difetto nel programma di installazione di Microsoft Visual Studio che potrebbe essere sfruttato facilmente da un attore malevolo per impersonare un publisher legittimo e distribuire estensioni dannose.
La vulnerabilità
La vulnerabilità in oggetto è un difetto dell’interfaccia utente in Microsoft Visual Studio che potrebbe consentire lo spoofing delle firme digitali del publisher. Precisamente il bug consentirebbe di aggirare una restrizione che impedisce agli utenti di inserire informazioni nella proprietà dell’estensione “Name Product”, semplicemente andando ad aprire un pacchetto di estensione di Visual Studio (VSIX) come file .ZIP e quindi aggiungendo manualmente caratteri newline al tag <DisplayName> nel file “extension.vsixmanifest“.
Infatti introducendo un numero sufficiente di caratteri newline e un falso testo “Digital Signature”, i ricercatori hanno scoperto che gli avvisi relativi all’estensione non firmata digitalmente potrebbero essere facilmente nascosti, inducendo così uno sviluppatore a installarla.
“Quando viene aggiunto un numero sufficiente di caratteri newline al nome dell’estensione, tutto il resto del testo nel prompt di installazione di Visual Studio viene spinto verso il basso, il che nasconde efficacemente l’avviso “Digital Signature: none”, spiega il ricercatore di sicurezza Dolev Taler.
Lo scenario d’attacco
In un ipotetico scenario di attacco, un malintenzionato potrebbe inviare un’e-mail di phishing contenente l’estensione VSIX falsificata spacciandola come un aggiornamento software legittimo e, dopo l’installazione, ottenere un accesso non autorizzato per un controllo della rete e il furto di informazioni sensibili.
Consigli
La vulnerabilità identificata come CVE-2023-28299 è stata risolta da Microsoft con il Patch Tuesday dell’11 aprile 2023. Poiché i sistemi privi di patch rimangono vulnerabili, si consiglia di applicare la correzione fornita da Microsoft e di monitorare eventuali attività sospette.
Varonis Threat Labs ha divulgato il suo rapporto, in modo responsabile, solo dopo il rilascio della patch.