Các extension độc hại có thể lạm dụng lỗ hổng VS Code để đánh cắp token xác thực

Môi trường phát triển và soạn thảo mã Visual Studio Code (VS Code) của Microsoft chứa một lỗ hổng cho phép các extension độc hại truy xuất token xác thực được lưu trữ trong trình quản lý thông tin đăng nhập Windows, Linux và macOS.

Các token này được sử dụng để tích hợp với các dịch vụ và API khác nhau của bên thứ ba, chẳng hạn như Git, GitHub và các nền tảng mã hóa khác, vì vậy việc đánh cắp chúng có thể gây ra hậu quả nghiêm trọng đối với bảo mật dữ liệu của tổ chức bị xâm phạm, có khả năng dẫn đến truy cập hệ thống trái phép, vi phạm dữ liệu…

Lỗ hổng được phát hiện bởi các nhà nghiên cứu Cycode, họ đã báo cáo cho Microsoft cùng với PoC. Tuy nhiên, gã khổng lồ công nghệ đã quyết định không khắc phục sự cố này, vì các extension không bị sandbox khỏi phần còn lại của môi trường.

Vấn đề Cycode phát hiện là do thiếu cách ly token xác thực trong ‘Secret Storage’ của VS Code, một API cho phép extension lưu trữ token xác thực trong hệ điều hành. Điều này được thực hiện bằng cách sử dụng Keytar, wrapper của VS Code để kết nối với Windows credential manager (trên Windows), keychain (trên macOS) hoặc keyring (đối với Linux).

Điều này có nghĩa, mọi extension chạy trong VS Code, kể cả những extension độc hại, đều có thể có quyền truy cập vào Secret Storage và lạm dụng Keytar để lấy bất kỳ token được lưu trữ nào.

Nguồn: Bleeping Computer