Lỗ hổng nghiêm trọng trong VS Code cho phép đánh cắp token GitHub chỉ với một cú nhấp chuột

Một nhà nghiên cứu bảo mật vừa công bố chi tiết về một lỗ hổng nghiêm trọng trong Visual Studio Code (VS Code), cho phép kẻ tấn công đánh cắp token GitHub của người dùng chỉ với một cú nhấp chuột. Đáng chú ý, thông tin về lỗ hổng này cùng với mã khai thác (PoC) đã được công khai mà không có sự báo trước cho Microsoft.

Lỗ hổng này được phát hiện bởi Ammar Askar. Quyết định công bố công khai thông tin kỹ thuật và PoC của ông xuất phát từ một trải nghiệm tồi tệ trong quá khứ khi báo cáo lỗ hổng cho Microsoft, khi gã khổng lồ công nghệ này đã vá lỗi một cách âm thầm mà không ghi nhận công lao của ông.

Bảo mật phần mềm

Cơ chế hoạt động của cuộc tấn công

Quá trình khai thác lỗ hổng "một cú nhấp chuột" này bắt đầu khi kẻ tấn công tạo ra một Jupyter notebook được thiết kế đặc biệt. Khi nạn nhân mở file này trên github.dev — phiên bản nhẹ của VS Code chạy hoàn toàn trên trình duyệt web — mã độc ẩn bên trong notebook sẽ giả lập các thao tác bàn phím để cài đặt một tiện ích mở rộng (extension) độc hại.

Tiện ích này sau đó âm thầm đánh cắp token truy cập GitHub của nạn nhân và gửi nó cho kẻ tấn công. Với token này, kẻ tấn công có toàn quyền đọc và ghi đối với tất cả các kho lưu trữ (repository) mà nạn nhân có thể truy cập, bao gồm cả các dự án riêng tư.

Yêu cầu duy nhất để kích hoạt cuộc tấn công là nạn nhân nhấp vào liên kết dẫn đến notebook độc hại. Tuy nhiên, nạn nhân sẽ chỉ nhận được thông báo về việc tiện ích muốn truy cập nếu họ chưa từng sử dụng github.dev trước đó.

Phiên bản desktop và bản vá lỗi

Mặc dù lỗ hổng này cũng ảnh hưởng đến phiên bản desktop của VS Code, nhưng việc khai thác trên nền tảng này khó khăn hơn vì cần thêm sự tương tác từ người dùng. Ngược lại, cuộc tấn công trên phiên bản desktop có thể dẫn đến việc thực thi mã từ xa (remote code execution) trên thiết bị của nạn nhân. Tại thời điểm bài viết, phiên bản desktop dường như vẫn chưa được vá lỗi.

Microsoft đã tung ra bản vá cho phiên bản web vào ngày 3 tháng 6, chỉ một ngày sau khi Askar công bố thông tin.

Bảo mật

Xu hướng công khai lỗ hổng zero-day

Đây không phải là lần đầu tiên các nhà nghiên cứu công bố lỗ hổng của sản phẩm Microsoft mà không thông báo cho nhà sản xuất trong vài tuần qua. Một nhà nghiên cứu có biệt danh Chaotic Eclipse và Nightmare Eclipse cũng đã công khai PoC cho nhiều lỗ hổng zero-day sau bất đồng với Microsoft trong quá trình tiết lộ lỗ hổng.

Danh sách này bao gồm các lỗ hổng được đặt tên như RedSun, UnDefend, BlueHammer, YellowKey, MiniPlasma và GreenPlasma, một số trong số đó đã bị khai thác trong tự nhiên. Microsoft đã phản ứng bằng các đe dọa hành động pháp lý đối với các nhà nghiên cứu, nhưng sau đó đã cố gắng trấn an cộng đồng an ninh mạng trước sự phản đối dữ dội.

"Đây là một lời nhắc nhở về tầm quan trọng của việc kiểm tra kỹ các nguồn tin và các tiện ích mở rộng trong môi trường phát triển," một chuyên gia an ninh mạng nhận định.