Փորձագետները նախազգուշացրել են Microsoft Visual Studio-ի «հեշտությամբ շահագործվող» խոցելիության մասին, որը կարող է չարաշահվել հաքերների կողմից վնասակար ֆայլեր տարածելու համար:
«Հաքերը կարող է անձնավորել հանրաճանաչ հրատարակչին և վնասակար ֆայլ թողարկել՝ թիրախային համակարգը վտանգելու համար», – նշում է Վարոնիսի հետազոտող՝ Դոլև Թալերը:
«Վնասակար ֆայլերն օգտագործվել են գաղտնի տեղեկատվություն գողանալու, անհատական օգտահաշիվներ մուտք գործելու կամ համակարգը լիովին վերահսկելու համար»:
CVE-2023-28299 (CVSS միավորը՝ 5.5) խոցելիությունը լուծվել է Microsoft-ի կողմից՝ որպես 2023-ի ապրիլի համար նախատեսված Patch Tuesday թարմացման մի մաս:
Այն աննշանորեն շրջանցում է սահմանափակումը, որը թույլ չի տալիս օգտատերերին տեղեկատվություն մուտքագրել «product name» ընդլայնման մեջ: Visual Studio Extension (VSIX) փաթեթում այն բացվում է որպես .ZIP ֆայլ: Իսկ «extension.vsixmanifest» ֆայլում ձեռքով նոր նիշեր է ավելացվում «DisplayName» թեգերում:
Հիպոթետիկ հարձակման դեպքում հաքերը կարող է ֆիշինգային նամակ ուղարկել, որը կրում է կեղծված VSIX ընդլայնումը՝ քողարկելով այն որպես օրինական ծրագրի թարմացում:
Չլիազորված մուտքն այնուհետև կարող է օգտագործվել որպես գործարկման հարթակ՝ ցանցի նկատմամբ ավելի խորը վերահսկողություն ձեռք բերելու և գաղտնի տվյալների գողությունը հեշտացնելու համար:
«Մատչելիությունն ու պահանջվող արտոնությունները հեշտացնում են շահագործման ընթացքը», – ասում է Թալերը:
«Հաքերները կարող են չարաշահել այս խոցելիությունը՝ համակարգերը վտանգելու մտադրությամբ կեղծված ընդլայնումներ տարածելով»:
Աղբյուրը՝ https://thehackernews.com/
