Kritična ranjivost u VS Code-u omogućava krađu GitHub tokena jednim klikom
Zero-day ranjivost u VS Code-u omogućava napadačima da ukrade GitHub tokene kroz maliciozne ekstenzije instaliranih klikom na zlonamerni link.
Šta se desilo?
Bezbednosni istraživač je objavio kod za eksploataciju zero-day ranjivosti u Visual Studio Code-u koja omogućava napadačima da ukrade GitHub autentifikacijske tokene. Ranjivost se eksploatiše tako što napadač prevari korisnika da klikne na zlonamerni link, nakon čega se instalira maliciozna ekstenzija koja kradom preuzima OAuth token. Token koji se prosleđuje github.dev platformi ima neograničen pristup svim privatnim repozitorijumima na koje žrtva ima pristup.
Koga pogađa?
Ranjivost direktno ugrožava sve korisnike VS Code-a i github.dev platforme, posebno one koji aktivno rade sa GitHub repozitorijumima. Iako je tehnički potrebna interakcija korisnika (klick na link), potencijalne žrtve su softverski razvijači i DevOps inženjeri koji koriste ove alate u svakodnevnom radu. Napadi mogu dovesti do kompromitovanja svih privatnih projekata dostupnih zahvaćenom korisniku.
Kako se zaštititi?
- Odmah očistite kolačiće i lokalne podatke za github.dev kroz postavke pretraživača - kliknite na ikonicu Postavki u traci adrese
- Idite u Cookies i podaci sajta - Upravljanje podacima sačuvanim na uređaju
- Izbegavajte klickanje na sumnjive linkove, posebno one koji vodu na github.dev
- Budite oprezni sa ekstenzijama treće strane - instalujte samo provjerene ekstenzije od poznatih autora
- Redovno pregledate listu instaliranih ekstenzija i odmah uklanjaate one koje ne prepoznajete
Tehnički detalji
Ranjivost koristi VS Code-ov sistemski za komunikaciju između sandboxovane webview komponente i glavnog editora. Napadač izvršava maliciozni JavaScript kod koji simulira pritiske na tastature u glavnom editoru, čime se automatski instalira ekstenzija. Istovremeno, OAuth token koji GitHub šalje ka github.dev platformi se hvata i koristi za enumeraciju privatnih repozitorijuma kroz GitHub API. Istraživač Ammar Askar je izdao i proof-of-concept kod koji demonstrira eksploataciju. Ranjivost još nije dodeljena CVE identifikator, a Microsoft nije izdao zvaničnu zakrpu.
Preporuka Sajber Radara
Korisnicima VS Code-a preporučujemo da odmah očiste lokalne podatke za github.dev kako je opisano iznad i da budu svesni rizika pri klickanju na linkove iz nepouzdanih izvora. Pažljivo pratite najave Microsoft-a o zakrpi za ovu kritičnu ranjivost i ažurirajte čim postane dostupna.