據Dark Reading 6月8日消息，Varonis安全研究人員警告稱，微軟此前修復的一個Visual Studio安裝程序漏洞危害不容小視，攻擊者可以利用此漏洞偽裝成合法的軟件，創建和分發惡意擴展程序，對開發環境進行滲透，從而掌控代碼、竊取高價值的知識產權。

該漏洞被追蹤為CVE-2023-28299，微軟已在4月份的月度安全更新中發布了修復補丁。當時微軟將其描述為“中等”嚴重性漏洞，并評估稱黑客不太可能利用的漏洞。但6月7日，Varonis公司的研究人員 Dolor Taler在一篇博客文章中對該漏洞及其潛在影響提出了不同的看法，指出它很容易被利用，且存在于一個擁有 26% 市場份額和超過 30000 名客戶的產品中。

值得被關注的漏洞

Taler發現，該漏洞影響 Visual Studio 集成開發環境 (IDE) 的多個版本，從 Visual Studio 2017 到 Visual Studio 2022，利用該漏洞的任何人都能輕松繞過Visual Studio中的一個安全限制，該限制防止用戶在“產品名稱”擴展屬性中輸入信息。

攻擊者可以通過將Visual Studio Extension（VSIX）包作為.zip文件打開，然后手動向“extension.vsixmanifest”文件中的標記添加換行符來繞過該控件。通過向擴展名稱添加足夠多的換行符，攻擊者可以強制下推 Visual Studio 安裝程序中的所有其他文本，從而隱藏任何關于擴展未進行數字簽名的警告。由于攻擊者控制了擴展名下的區域，他們可以輕松添加使用戶看起來以為是真實的虛假‘數字簽名’文本。

Taler表示，攻擊者有多種方法將惡意擴展程序感染到軟件開發人員的系統中，大多數方法涉及釣魚或其他社交工程。隨后，這些惡意程序可以將其用作進入組織的開發生態系統和其他目標環境的起點。

Taler提到了近期LastPass的遭遇，通過利用計算機媒體播放器中的漏洞，攻擊者對其軟件開發系統進行了有針對性的入侵，最終獲取了數千萬用戶及上萬家公司的密碼數據。

Varonis 的研究和安全主管 Emanuel 告訴 Dark Reading，攻擊者可以使用多種方法來誘騙用戶執行欺騙性的 Visual Studio 擴展，比如可以誘騙用戶點擊開發者社區網站上的帖子，將他們帶到惡意網頁上進行下載。

Varonis安全研究經理Dvir Sason補充說認為，其他感染途徑可能始于含有模仿真實VSIX擴展的欺騙性電子郵件。或者可能是一個包含破解軟件的網站。他認為，由于是以開發人員為目標，其攻擊目的可能不是為了破壞對方網絡，對知識產權的竊取反而更加有利可圖。