Nhà nghiên cứu bảo mật rò rỉ lỗ hổng Microsoft để phản đối quy trình xử lý báo cáo

Nhà nghiên cứu bảo mật rò rỉ lỗ hổng Microsoft để phản đối quy trình xử lý báo cáo

Một nhà nghiên cứu bảo mật khác đã công khai khai thác lỗ hổng ảnh hưởng đến sản phẩm của Microsoft sau khi mất niềm tin vào cách công ty này xử lý các báo cáo bảo mật. Ammar Askar đã tung ra bằng chứng khái niệm (PoC) cho một lỗi trong Visual Studio Code (VS Code) chỉ trong vòng một giờ sau khi thông báo cho "một người liên lạc cũ" tại nền tảng mã nguồn mở này.

Lỗ hổng mà ông công bố cho phép kẻ tấn công cấu hình các kho chứa (repo), do chính chúng tạo ra hoặc đã bị xâm nhập trước đó, để đẩy các tiện ích mở rộng (extension) VS Code độc hại thông qua tính năng Workspace Recommendations. Mục tiêu là đánh cắp mã thông báo OAuth, từ đó cho phép đọc hoặc ghi các kho chứa GitHub công khai và riêng tư.

Lỗi này ảnh hưởng đến bất kỳ ai từng sử dụng github.dev, tính năng cho phép người dùng mở một kho chứa GitHub trên phiên bản trình duyệt của VS Code.

Askar giải thích rằng tính năng này hoạt động khi github.com chuyển một mã thông báo OAuth sang github.dev. Quan trọng là, mã thông báo này không bị giới hạn ở kho chứa nơi github.dev được khởi chạy. Điều này có nghĩa là mã thông báo có thể cấp cho kẻ tấn công quyền truy cập vào bất kỳ kho chứa nào khác — công khai hoặc riêng tư — mà mục tiêu cũng có quyền truy cập.

Cuộc tấn công này phụ thuộc vào việc kẻ tấn công có thể sửa đổi tệp .vscode/extensions.json của một kho chứa và đề xuất một tiện ích do kẻ tấn công kiểm soát cho phiên bản VS Code trên trình duyệt.

Trong kịch bản bình thường, một cửa sổ bật lên sẽ xuất hiện yêu cầu người dùng chấp nhận cài đặt tiện ích này, có thể giúp họ phát hiện hành vi bất thường.

Tuy nhiên, do cách kẻ tấn công chuyển giao kho chứa đến mục tiêu, chúng đã có một tệp Jupyter Notebook đang chạy trong github.dev của mục tiêu trước khi tiện ích được cài đặt.

Kẻ tấn công ban đầu phải khiến mục tiêu mở kho chứa của chúng bằng liên kết github.dev trỏ đến tệp ipynb này, tệp mà VS Code sẽ mở ngay lập tức bên trong Webview. Bên trong Jupyter Notebook là một đoạn HTML ẩn nằm trong một ô Markdown, khi được tải sẽ cho phép mã JavaScript do kẻ tấn công kiểm soát chạy. Mã này kích hoạt một phím tắt giả lập, mà VS Code chuyển lên trình chỉnh sửa chính, đánh lừa hệ thống tự động chấp nhận cửa sổ bật lên tiện ích độc hại.

Khi tiện ích do kẻ tấn công kiểm soát chạy với quyền truy cập vào môi trường trình duyệt, nó sẽ đánh cắp mã thông báo OAuth, mã này có thể được sử dụng để đọc và thay đổi bất kỳ kho chứa công khai hay riêng tư nào.

Askar cho biết những trải nghiệm tiêu cực trong quá khứ với Trung tâm Phản hồi Bảo mật Microsoft (MSRC) đã ảnh hưởng đến quyết định không đi theo quy trình công bố trách nhiệm thông thường, ông đã công khai PoC khoảng một giờ sau khi cảnh báo cho người liên hệ tại GitHub.

"Để tóm tắt lần tương tác cuối cùng của tôi với MSRC về việc báo cáo lỗi VSCode, đó là một trải nghiệm tồi tệ nơi họ âm thầm sửa lỗi mà tôi chỉ ra mà không có bất kỳ ghi nhận nào," ông viết. "Họ cũng đánh dấu là không có tác động bảo mật nào. Như tôi đã đề cập trong bài đăng đó, từ nay tôi sẽ thực hiện việc công bố đầy đủ công khai cho bất kỳ lỗi bảo mật nào tôi tìm thấy trong VSCode. Nhìn vào báo cáo gần đây của Starlabs về lỗi XSS VSCode bị đánh dấu là không đủ điều kiện và mức độ nghiêm trọng thấp, có vẻ như MSRC không tốt hơn lên với các lỗi VSCode."

"Tôi chắc chắn đội ngũ VSCode sẽ đánh giá cao việc được thông báo trước lâu hơn để đưa ra giải pháp. Thực sự có một sự cân bằng UI/UX ở đây cần được thực hiện với các mối lo ngại bảo mật. Đối với những người đó, tôi xin lỗi, nhưng đây là một trong số ít đòn bẩy tôi có để cố gắng ảnh hưởng đến MSRC và tư thế bảo mật của VSCode. Việc tìm kiếm và phát triển đầy đủ các lỗi bảo mật thành các bằng chứng khái niệm như thế này mất thời gian và công sức của các nhà nghiên cứu bảo mật, điều đó không nên bị thiếu tôn trọng hoặc coi là đương nhiên."

Cách tiếp cận của Askar gợi nhớ đến một nhà nghiên cứu có biệt danh Nightmare Eclipse, người bị nghi là cựu nhân viên Microsoft, người đã thu hút sự chú ý lớn trong vài tuần qua vì rò rỉ các lỗ hổng zero-day mà không thông báo cho Microsoft trước.

Nhà nghiên cứu này cho đến nay đã phát hành sáu lỗ hổng zero-day, trong đó ba cái được xác nhận nhanh chóng là đang bị kẻ tấn công khai thác trong tự nhiên.

Về động cơ của họ trong việc tung ra cuộc tấn công này vào Microsoft, Nightmare Eclipse trước đây đã ám chỉ việc bị "đâm sau lưng" và trở nên vô gia cư sau một thỏa thuận không được tôn trọng — tất cả đều rất mơ hồ.

Sau lỗ hổng zero-day thứ sáu, Microsoft đã đe dọa một cách mơ hồ nhà nghiên cứu này với Đội tội phạm Kỹ thuật số (Digital Crimes Unit) của mình, đơn vị làm việc chặt chẽ với cơ quan thực thi pháp luật, trước khi nhanh chóng lùi bước sau những phản ứng tiêu cực.

The Register đã liên hệ với Microsoft để biết thêm thông tin.