🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um pesquisador de segurança lançou um código de exploração para uma vulnerabilidade de dia zero do Visual Studio Code (VS Code) que permite que invasores roubem tokens de autenticação do GitHub, enganando os usuários para que cliquem em um link.
A Microsoft classifica uma falha de software como dia zero se for divulgada publicamente e/ou explorada ativamente sem nenhum patch oficial disponÃvel no momento.
Como o pesquisador Ammar Askar explicou em uma postagem de blog na terça-feira, esta vulnerabilidade do VS Code permite que invasores instalem extensões maliciosas que roubam tokens GitHub OAuth quando são passados para github.dev (uma versão baseada em navegador do Visual Studio Code usada para funcionar em repositórios GitHub) explorando o sistema de passagem de mensagens de visualização na web em área restrita do VS Code.
A exploração de prova de conceito que ele também lançou na terça-feira abusa desse sistema, executando JavaScript malicioso dentro de um webview para simular pressionamentos de tecla no editor principal e instalar uma extensão que extrai o token GitHub OAuth enviado para github.dev e consulta a API do GitHub para enumerar todos os repositórios privados que a vÃtima pode acessar.
“Essa funcionalidade é obtida por meio do POST do github.com sobre um token OAuth para o github.dev que permite interagir com o GitHub em seu nome”, disse Askar. "O token não tem como escopo o repositório especÃfico com o qual você interagiu, o que significa que ele tem acesso total a todos os outros repositórios aos quais você tem acesso."
Embora a vulnerabilidade ainda não tenha sido corrigida e ainda não tenha sido atribuÃdo um ID CVE, os usuários do VS Code podem se proteger limpando cookies e dados do site local para github.dev em seu navegador clicando no Ãcone Configurações na barra de URL e, em seguida, acessando Cookies e dados do site > Gerenciar dados do site no dispositivo.
Isso garantirá que eles receberão uma mensagem "A extensão 'Repositórios do GitHub' deseja fazer login usando o GitHub". aviso ao clicar em links que tentam explorar esta falha.
Caixa de diálogo de login inicial do github.dev (Ammar Askar)
Askar disse que notificou o GitHub uma hora antes de divulgar o bug e observou que escolheu a divulgação pública imediata devido a uma experiência negativa anterior com o processo de resposta de segurança da Microsoft, no qual um bug do VS Code relatado anteriormente foi corrigido silenciosamente, sem crédito ou reconhecimento do impacto na segurança.
"Isso foi principalmente uma cortesia ao GitHub, a intenção aqui era a divulgação pública completa. Em minha experiência anterior relatando bugs do github.dev para eles, eles dizem que está fora do escopo e vão reportá-lo ao MSRC. E como descrevi no artigo, eu realmente não quero lidar com o MSRC em bugs do VSCode", acrescentou.
"Para resumir a última vez que interagi com o MSRC sobre o relato de um bug do VSCode, foi uma experiência horrÃvel, onde eles consertaram silenciosamente o bug que apontei sem nenhum crédito. Eles também o marcaram como não tendo nenhum impacto na segurança.
“Como mencionei naquele post, daqui para frente eu divulgaria publicamente todos os bugs de segurança que encontrei no VSCode.”
Isso segue outro fluxo de dia zero em vários produtos da Microsoft divulgados por um pesquisador de segurança anônimo usando o identificador online ‘Nightmare Eclipse’, que também expressou seu descontentamento com a forma como o Microsoft Security Response Center (MSRC) lida com o processo de divulgação.
Nos últimos meses, Nightmare Eclipse divulgou as falhas de dia zero de escalonamento de privilégios BlueHammer, RedSun, GreenPlasma e MiniPlasma (as duas primeiras agora sendo exploradas em ataques), YellowKey (um dia zero do Windows BitLocker que concede acesso a unidades protegidas) e UnDefend (outro dia zero que pode ser explorado para bloquear atualizações de definição do Microsoft Defender).
Inicialmente, a Microsoft reagiu aos vazamentos de dia zero do Nightmare Eclipse com ameaças de ação legal, seguida por um tweet afirmando que funcionaria “com a aplicação da lei conforme apropriado” quando “um indivÃduo infringir a lei e se envolver em atividades maliciosas causando danos reais aos nossos clientes”.
BleepingComputer entrou em contato com a Microsoft para comentar sobre a falha de dia zero do VS Code divulgada por Askar, mas uma resposta não estava disponÃvel imediatamente.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfÃcies que você realmente precisa validar.
Baixe agora
A Microsoft classifica uma falha de software como dia zero se for divulgada publicamente e/ou explorada ativamente sem nenhum patch oficial disponÃvel no momento.
Como o pesquisador Ammar Askar explicou em uma postagem de blog na terça-feira, esta vulnerabilidade do VS Code permite que invasores instalem extensões maliciosas que roubam tokens GitHub OAuth quando são passados para github.dev (uma versão baseada em navegador do Visual Studio Code usada para funcionar em repositórios GitHub) explorando o sistema de passagem de mensagens de visualização na web em área restrita do VS Code.
A exploração de prova de conceito que ele também lançou na terça-feira abusa desse sistema, executando JavaScript malicioso dentro de um webview para simular pressionamentos de tecla no editor principal e instalar uma extensão que extrai o token GitHub OAuth enviado para github.dev e consulta a API do GitHub para enumerar todos os repositórios privados que a vÃtima pode acessar.
“Essa funcionalidade é obtida por meio do POST do github.com sobre um token OAuth para o github.dev que permite interagir com o GitHub em seu nome”, disse Askar. "O token não tem como escopo o repositório especÃfico com o qual você interagiu, o que significa que ele tem acesso total a todos os outros repositórios aos quais você tem acesso."
Embora a vulnerabilidade ainda não tenha sido corrigida e ainda não tenha sido atribuÃdo um ID CVE, os usuários do VS Code podem se proteger limpando cookies e dados do site local para github.dev em seu navegador clicando no Ãcone Configurações na barra de URL e, em seguida, acessando Cookies e dados do site > Gerenciar dados do site no dispositivo.
Isso garantirá que eles receberão uma mensagem "A extensão 'Repositórios do GitHub' deseja fazer login usando o GitHub". aviso ao clicar em links que tentam explorar esta falha.
Caixa de diálogo de login inicial do github.dev (Ammar Askar)
Askar disse que notificou o GitHub uma hora antes de divulgar o bug e observou que escolheu a divulgação pública imediata devido a uma experiência negativa anterior com o processo de resposta de segurança da Microsoft, no qual um bug do VS Code relatado anteriormente foi corrigido silenciosamente, sem crédito ou reconhecimento do impacto na segurança.
"Isso foi principalmente uma cortesia ao GitHub, a intenção aqui era a divulgação pública completa. Em minha experiência anterior relatando bugs do github.dev para eles, eles dizem que está fora do escopo e vão reportá-lo ao MSRC. E como descrevi no artigo, eu realmente não quero lidar com o MSRC em bugs do VSCode", acrescentou.
"Para resumir a última vez que interagi com o MSRC sobre o relato de um bug do VSCode, foi uma experiência horrÃvel, onde eles consertaram silenciosamente o bug que apontei sem nenhum crédito. Eles também o marcaram como não tendo nenhum impacto na segurança.
“Como mencionei naquele post, daqui para frente eu divulgaria publicamente todos os bugs de segurança que encontrei no VSCode.”
Isso segue outro fluxo de dia zero em vários produtos da Microsoft divulgados por um pesquisador de segurança anônimo usando o identificador online ‘Nightmare Eclipse’, que também expressou seu descontentamento com a forma como o Microsoft Security Response Center (MSRC) lida com o processo de divulgação.
Nos últimos meses, Nightmare Eclipse divulgou as falhas de dia zero de escalonamento de privilégios BlueHammer, RedSun, GreenPlasma e MiniPlasma (as duas primeiras agora sendo exploradas em ataques), YellowKey (um dia zero do Windows BitLocker que concede acesso a unidades protegidas) e UnDefend (outro dia zero que pode ser explorado para bloquear atualizações de definição do Microsoft Defender).
Inicialmente, a Microsoft reagiu aos vazamentos de dia zero do Nightmare Eclipse com ameaças de ação legal, seguida por um tweet afirmando que funcionaria “com a aplicação da lei conforme apropriado” quando “um indivÃduo infringir a lei e se envolver em atividades maliciosas causando danos reais aos nossos clientes”.
BleepingComputer entrou em contato com a Microsoft para comentar sobre a falha de dia zero do VS Code divulgada por Askar, mas uma resposta não estava disponÃvel imediatamente.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfÃcies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #o #vs #code #zeroday #permite #que #hackers #roubem #tokens #do #github #com #um #clique
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário