I ricercatori di Cycode hanno individuato una vulnerabilità in Visual Studio Code che consente a estensioni malevole di ottenere token di autenticazione e le credenziali memorizzate nei gestori di password del sistema.
In VS Code le estensioni memorizzano i token d’autorizzazione forniti dagli sviluppatori per integrarsi coi servizi di terze parti. L’IDE offre una funzionalità per memorizzare i token in maniera sicura nel sistema operativo, o almeno così si pensava prima che Cycode individuasse una vulnerabilità nel processo.
Pixabay
La vulnerabilità mette a rischio non solo il singolo sviluppatore ma l’intera organizzazione, dal momento che i token solitamente appartengono a degli account aziendali.
Il problema risiede nel fatto che i token di autenticazione di Visual Studio Code non sono isolati rispetto alle estensioni dell’IDE: VS Code mette a disposizione delle estensioni Secret Storage, un’API che consente l’accesso ai token salvati sul sistema.
Qualsiasi estensione, anche malevola, può sfruttare Secret Storage per recuperare i token memorizzati nel gestore delle password, visto che Visual Studio Code vi ha accesso.
Le password sono cifrate ma, spiegano i ricercatori, non è difficile individuare la chiave di cifratura: il team di sicurezza ha scoperto che la chiave viene generata dal percorso dell’eseguibile e dall’ID della macchina, rendendo quindi molto semplice la generazione della chiave.
Pixabay
I ricercatori di Cycode hanno notificato Microsoft della vulnerabilità, ma il gigante di Redmond, pur riconoscendo l’impatto della vulnerabilità, ha deciso di non agire in quanto le estensioni non sono state pensate per essere eseguite in maniera isolata. Il bug deriva dal design stesso del processo, e per questo motivo Microsoft non rilascerà alcun fix.
Di fatto, la responsabilità rimarrà nelle mani degli sviluppatori. Cycode ricorda di limitare, per quanto possibile, il numero di estensioni di VS Code e di controllare sempre l’affidabilità delle fonti da cui provengono. Nel caso in cui un’estensione utilizzi i token o altre informazioni sensibili, è consigliabile implementare un livello ulteriore di cifratura per aumentare la sicurezza.
Condividi l’articolo
Articoli correlati
Altro in questa categoria
https://www.securityinfo.it/2023/08/17/unestensione-di-visual-studio-code-consente-di-rubare-le-password-di-sistema/?utm_source=rss&utm_medium=rss&utm_campaign=unestensione-di-visual-studio-code-consente-di-rubare-le-password-di-sistema


