恶意扩展可滥用VSCode漏洞窃取认证令牌

微软的 Visual Studio Code (VS Code) 代码编辑器存在一个漏洞，允许恶意扩展程序检索 Windows、Linux 和 macOS 中存储的身份验证令牌。

专注于为中小企业提供成都网站设计、成都做网站服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业西固免费做网站提供优质的服务。我们立足成都，凝聚了一批互联网行业人才，有力地推动了数千家企业的稳健成长，帮助中小企业通过网站建设实现规模扩充和转变。

这些令牌用于集成各种第三方服务和 API，如 Git、GitHub 和其他编码平台，因此窃取这些令牌可能会对数据安全造成重大影响，导致未经授权的系统访问、数据泄露等。

Cycode 研究人员发现了这个漏洞，并将其连同他们开发的概念验证（PoC）报告给了微软。然而，微软并没有修复它的打算，因为扩展程序不应该与其他环境隔绝。

利用扩展窃取机密

Cycode 发现的安全问题是由于 VS Code 的 "秘密存储"（Secret Storage）缺乏对身份验证令牌的隔离造成的，该 API 允许扩展在操作系统中存储身份验证令牌。这需要使用 Keytar，即 VS Code 与 Windows 凭据管理器（Windows）、钥匙串（macOS）或钥匙圈（Linux）通信的封装程序。

这意味着在 VS Code 中运行的任何扩展，甚至是恶意扩展，都可以访问秘密存储器，并滥用 Keytar 来检索任何存储的令牌。

发现这个问题后，Cycode 的研究人员开始尝试创建一个恶意扩展来窃取 CircleCI 的令牌，CircleCI 是一个使用 VS Code 扩展的流行编码平台。他们通过修改 CircleCI 的扩展来运行一条命令，从而暴露其安全令牌，甚至直接将其发送到研究人员的服务器上。

渐渐地，他们开发出了一种用途更广的攻击方法，可以在不篡改目标扩展代码的情况下提取这些机密。

此过程的关键是发现任何 VS Code 扩展都有权访问钥匙串，因为它是在操作系统已经授权访问钥匙串的应用程序内运行的。

"我们开发了一个概念验证恶意扩展，它不仅能从其他扩展中成功获取令牌，还能从 VS Code 的内置登录和同步功能中获取 GitHub 和微软账户的令牌，从而实现了 "令牌窃取 "攻击"。- Cycode.

Cycode 发现，用于加密令牌的算法是 AES-256-GCM，这通常是安全的。然而，用于加密令牌的密钥是根据当前可执行路径和机器 ID 导出的，因此很容易重新创建密钥。

检索到的令牌通过在 VS Code 的 Electron 可执行文件中运行的自定义 JS 脚本进行解密，解密并打印本地安装的扩展的所有密码。

微软并未修复

Cycode 的分析师两个月前向微软披露了这个漏洞，甚至演示了他们的 PoC 扩展及其窃取存储扩展令牌的能力。

然而，微软的工程师们并没有将此视为安全问题，并决定维持 VS Code 秘密存储管理框架的现有设计。

参考链接：https://www.bleepingcomputer.com/news/security/malicious-extensions-can-abuse-vs-code-flaw-to-steal-auth-tokens/

文章名称：恶意扩展可滥用VSCode漏洞窃取认证令牌
当前路径：http://www.shufengxianlan.com/qtweb/news18/149318.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联