Sicherheitslücke in Microsoft Visual Studio entdeckt

Die Sicherheitsforscher der Varonis Threat Labs warnen vor einem Fehler (CVE-2023-28299) im Installationsprogramm von Microsoft Visual Studio. Die Sicherheitslücke kann es Cyberangreifern ermöglicht, den Anschein eines legitimen Softwareherstellers zu erwecken und so bösartige Erweiterungen zu erstellen und an Anwendungsentwickler zu verteilen. Von dort aus können sie in Entwicklungsumgebungen eindringen, die Kontrolle übernehmen, Code manipulieren und wertvolles geistiges Eigentum stehlen. Aufgrund der niedrigen Komplexität und der geringen notwendigen Berechtigungen lässt sich diese Schwachstelle leicht für Angriffe nutzen. Microsoft hat mittlerweile einen entsprechenden Patch veröffentlicht. Nutzer sollten diesen dringend installieren und auf verdächtige Aktivitäten achten.

Sicherheitslücke in Entwicklungsumgebung für Programme

Microsoft Visual Studio ist eine weitverbreitete Entwicklungsumgebung für verschiedene Programmiersprachen. Mit dem von den Varonis Threat Labs entdeckten UI-Bug kann sich ein Angreifer als Herausgeber ausgeben und eine bösartige Erweiterung veröffentlichen, um ein Zielsystem zu kompromittieren. So haben Angreifer bereits bösartige Erweiterungen verwendet, um sensible Informationen zu stehlen. Außerdem unbemerkt auf Code zuzugreifen und diesen zu ändern oder die vollständige Kontrolle über ein System zu übernehmen.

Aus Sicherheitsgründen lässt Visual Studio keine Zeilenumbrüche innerhalb des Namens einer Erweiterung zu. Auf diese Weise soll verhindert werden, dass Nutzer Informationen in die Erweiterungseigenschaft „Produktname“ eingeben können. Sicherheitslücke: Dies kann jedoch leicht umgangen werden, indem man die VSIX als ZIP-Datei öffnet und dem Tag <DisplayName> unter der Datei manuell Zeilenumbrüche hinzufügt: „extension.vsixmanifest“. Wenn dem Erweiterungsnamen genügend Zeilenumbrüche hinzugefügt werden, wird der gesamte andere Text in der Visual-Studio-Installationsaufforderung nach unten verschoben, wodurch die Warnung „Digital Signature: None.“ nicht mehr sichtbar ist. Da der Bereich unter dem Namen der Erweiterung editiert werden kann, können Angreifer hier einfach einen gefälschten „Digital Signature“-Text hinzufügen, der für die Benutzer sichtbar ist und echt zu sein scheint.

Vorgehensweise der Angreifer

Angreifer können die Sicherheitslücke folgendermaßen ausnutzen:

• Der Angreifer sendet eine E-Mail an die Entwickler des Unternehmens, getarnt als legitimes Software-Update.
• In der E-Mail fügt der Angreifer eine gefälschte VSIX-Erweiterung an, die die legitime Erweiterung imitiert.
• Das Opfer kann die gefälschte bösartige VSIX-Erweiterung nicht von einem echten, signierten Update unterscheiden und installiert die bösartige VSIX-Erweiterung.
• Nach der Implementierung einer manipulierten Payload in die Erweiterung kompromittiert der Angreifer den Computer des Opfers und verschafft sich so einen ersten Zugriff auf das Unternehmen.
• Nun kann sich der Angreifer innerhalb des angegriffenen Unternehmens weiterbewegen und so möglicherweise geistiges Eigentum und vertrauliche Daten entwenden.

Varonis verfolgt seit der Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die lokal wie in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt. Hierzu gehören sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten oder auch Strategie- und Produktpläne. Die Datensicherheits-Plattform (DSP) von Varonis erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten. (sg)

Lesen Sie auch: Risikomanagement: So können IT-Teams Drittanbieter-Apps überprüfen

Aufmacherbild: mapoli-photo – Adobe Stock