微软Visual Studio安装程序安全漏洞解析

关键要点

• Varonis研究者发现，微软Visual Studio安装程序存在已解决的漏洞（CVE-2023-28299），可被利用传播恶意扩展。
• 攻击者能够伪造发布者的数字签名，越过用户限制，引诱开发者安装恶意扩展。
• 恶意扩展可能执行数据盗窃、代码访问和系统全面接管等活动。
• Phishing邮件可能伪装成软件更新，造成初步妥协并进一步控制网络。

根据的报道，Varonis的研究表明，微软VisualStudio安装程序受到了一个已经解决的漏洞的影响，这一漏洞可以轻易被利用来传播。这个被追踪为CVE-2023-28299的漏洞允许攻击者伪造发布者的数字签名，规避某些用户限制，并在VisualStudio扩展文件中插入换行符，从而诱使开发者安装可能导致数据被窃取、代码访问和修改以及系统全面接管的恶意扩展。

攻击方式

攻击者可以通过伪装成软件更新的钓鱼邮件传播伪造的VisualStudio扩展，导致安装后的初步妥协，并允许对网络实施更广泛的控制和数据外泄活动。“该漏洞的低复杂性及所需权限让这一攻击方式易于被武器化。攻击者很可能利用此漏洞发布伪造的恶意扩展，以图危害系统，”研究员DolevTaler表示。

研究人士建议开发者保持警惕，及时安装相关安全更新，并对不明来源的扩展保持谨慎态度，以降低此类攻击的风险。