Chặn reverse shell tích hợp trong Visual Studio Code trước khi quá muộn

 (ipfyx.fr)
10 điểm bởi GN⁺ 2023-09-24 | 1 bình luận | Chia sẻ qua WhatsApp
  • Bài viết về các rủi ro bảo mật tiềm ẩn của VS Code
  • Từ tháng 7 năm 2023, Microsoft đã tích hợp Reverse-Shell (reverse shell) vào Visual Studio Code, cho phép mọi người dùng có tài khoản GitHub chia sẻ Visual Studio trên máy tính để bàn của mình qua web
  • Tính năng này có thể làm lộ dữ liệu nhạy cảm ra web và khiến mạng nội bộ có thể bị truy cập từ bất kỳ đâu
  • Reverse shell có thể được chạy từ dòng lệnh bằng code.exe phiên bản portable, một tệp nhị phân Windows hợp pháp và đã được ký, nên không bị bất kỳ phần mềm diệt virus nào phát hiện
  • Bài viết đề xuất các chiến lược giảm thiểu như chặn một số tên miền cụ thể, sử dụng Applocker, công nghệ whitelist ứng dụng của Microsoft, và dùng Group Policy Object (GPO) để kiểm soát quyền truy cập vào remote tunnel
  • Tuy nhiên, các chiến lược này có giới hạn và có thể không hoàn toàn hiệu quả
  • Bài viết cũng đề xuất các chiến lược phát hiện như giám sát việc thực thi code-tunnel, tìm kiếm các tiến trình con đáng ngờ, theo dõi việc tạo các tệp cụ thể, và giám sát lưu lượng web tới các tên miền cụ thể
  • Tác giả cho rằng các tham số Group Policy Object (GPO) sẽ là một bổ sung hữu ích, nhưng hiện vẫn chưa có.
    • Hiện tại, chiến lược tốt nhất là **chặn hai tên miền **.tunnels.api.visualstudio.com và .devtunnels.ms

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-09-24
Ý kiến trên Hacker News
  • Bài viết thảo luận về một vấn đề bảo mật tiềm ẩn liên quan đến reverse shell tích hợp sẵn trong Visual Studio Code.
  • Những người bình luận chỉ ra rằng nếu kẻ tấn công có thể thực thi lệnh và tải lên tệp nhị phân, thì bảo mật của VS Code trở nên vô nghĩa vì rất nhiều lệnh và tệp nhị phân có thể mở kết nối mạng.
  • Vấn đề này được so sánh với khái niệm "hatch tàu kín nước" của Raymond Chen, gợi ý rằng nếu kẻ tấn công đã vượt qua lớp bảo mật đầu tiên thì lớp thứ hai sẽ trở nên vô nghĩa.
  • Một số người bình luận đề xuất rằng tính năng reverse shell nên bị vô hiệu hóa theo mặc định vì phần lớn người dùng sẽ không sử dụng nó.
  • Có lo ngại rằng tính năng này có thể bị dùng để rò rỉ dữ liệu trong môi trường doanh nghiệp.
  • Một số người dùng đặt câu hỏi vì sao đây lại là tính năng mặc định thay vì là một extension tùy chọn.
  • Có câu hỏi liệu điều này có tạo ra nhiều hay ít lỗ hổng hơn so với tính năng Live Share của VS Code.
  • Một số người bình luận cho rằng khả năng bị lạm dụng của tính năng này có thể được giảm thiểu bằng cách tôn trọng người dùng hơn và không giả định rằng họ sẽ hành động thiếu trách nhiệm.
  • Cuộc thảo luận cũng chạm đến ý tưởng làm việc trong một container đặc quyền thấp, tương tự tiến trình render của trình duyệt, như một hướng phát triển tiềm năng trong tương lai cho môi trường lập trình.