Un’estensione di Visual Studio Code consente di rubare le password di sistema

  News, Rassegna Stampa, Security
image_pdfimage_print


I ricercatori di Cycode hanno individuato una vulnerabilità in Visual Studio Code che consente a estensioni malevole di ottenere token di autenticazione e le credenziali memorizzate nei gestori di password del sistema.

In VS Code le estensioni memorizzano i token d’autorizzazione forniti dagli sviluppatori per integrarsi coi servizi di terze parti. L’IDE offre una funzionalità per memorizzare i token in maniera sicura nel sistema operativo, o almeno così si pensava prima che Cycode individuasse una vulnerabilità nel processo.

Visual Studio Code

Pixabay

La vulnerabilità mette a rischio non solo il singolo sviluppatore ma l’intera organizzazione, dal momento che i token solitamente appartengono a degli account aziendali.

Il problema risiede nel fatto che i token di autenticazione di Visual Studio Code non sono isolati rispetto alle estensioni dell’IDE: VS Code mette a disposizione delle estensioni Secret Storage, un’API che consente l’accesso ai token salvati sul sistema.

Qualsiasi estensione, anche malevola, può sfruttare Secret Storage per recuperare i token memorizzati nel gestore delle password, visto che Visual Studio Code vi ha accesso.

Le password sono cifrate ma, spiegano i ricercatori, non è difficile individuare la chiave di cifratura: il team di sicurezza ha scoperto che la chiave viene generata dal percorso dell’eseguibile e dall’ID della macchina, rendendo quindi molto semplice la generazione della chiave.

Visual Studio Code

Pixabay

I ricercatori di Cycode hanno notificato Microsoft della vulnerabilità, ma il gigante di Redmond, pur riconoscendo l’impatto della vulnerabilità, ha deciso di non agire in quanto le estensioni non sono state pensate per essere eseguite in maniera isolata. Il bug deriva dal design stesso del processo, e per questo motivo Microsoft non rilascerà alcun fix.

Di fatto, la responsabilità rimarrà nelle mani degli sviluppatori. Cycode ricorda di limitare, per quanto possibile, il numero di estensioni di VS Code e di controllare sempre l’affidabilità delle fonti da cui provengono. Nel caso in cui un’estensione utilizzi i token o altre informazioni sensibili, è consigliabile implementare un livello ulteriore di cifratura per aumentare la sicurezza.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2023/08/17/unestensione-di-visual-studio-code-consente-di-rubare-le-password-di-sistema/?utm_source=rss&utm_medium=rss&utm_campaign=unestensione-di-visual-studio-code-consente-di-rubare-le-password-di-sistema