微软决定不修复 Visual Studio 中的一次点击 RCE 漏洞

安全研究员发现VisualStudio的可信位置特性默认未启用,这使得用户面临远程代码执行风险。微软称非安全漏洞,但仍建议用户启用可信设置。Outflank的预构建exploit展示了这一问题的现实性。
摘要由CSDN通过智能技术生成

411f282f27e20867bc9a1d3a9e4c23ed.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

2add668d6b957e932caf40813a0ce402.png

上周,安全研究员Zhiniang Peng开发了利用微软 Visual Studio IDE “可信位置”特性的 PoC。自2021年遭朝鲜国家黑客组织 Lazarus 利用后,微软发布可信位置特性,阻止Visual Studio 项目被用于实现远程代码执行 (RCE)。

bb3e82e9de6133bec74088b4fb800d04.png

最新发布的 exp 更说明可阻止经测试有效的攻击向量的“可信位置”特性仍然处于默认不启用状态,导致不知情用户面临风险。

研究员Peng表示,虽然默认启用该特性距离阻止开发人员从 web 打开项目而言还很长,但微软拒绝就为何启用该特性仍需用户干预置评。微软回应该研究员表示,该问题并非安全漏洞,打开从GitHub 等平台下载的 Visual Studio 项目本质上是“一个不安全的操作”问题。

Exp 本身涉及从用户机器下载并打开的恶意构造项目,但Peng设法在项目开始编译前找到实现RCE的方法。他使用打开项目时在.vs 文件夹中自动创建的 .suo 二进制文件即可触发代码执行。该攻击尤其具有欺骗性的原因是,文件夹和文件以不会在项目文件探索中默认显示的句点为开头,即找到这些文件夹和文件需要更多手动操作,而且即使找到读取它们也比读取明文文件更难。研究员指出,“说明该文件的文档也很有限,因此即使仔细查看也很容易被忽视。”

Peng 详细说明了该exp 的内部工作原理。虽然攻击向量并不新鲜,但Peng 的重点是微软不认为该问题是真正的漏洞,因此选择不修复。

自2021年Lazarus 组织开始利用 Visual Studio exp 后,微软的可信位置特性旨在自动为打开不可信 Visual Studio 项目时显示对话窗口,提醒用户打开从 web 下载的项目所关联的安全风险。可信位置特性最终获得基于该对话框的“受限模式”更新,允许用户以更安全的方式打开项目,禁止在机器上执行任何代码。

微软当时在博客文章中提到,“启用可信位置特性后,只有当用户或用户所在组织机构将在 Visual Studio 2022中打开的所有内容添加到‘可信位置’之后,才会被视作可信。用户可直接信任源自信任对话或信任设置会话的文件夹位置、git仓库或git仓库所有人。”

Peng 提到的问题是,可信位置是用户必须手动启用的特性而非默认启用,且这种情况持续到了2023年。

当问到为何可信位置并非默认启用以及最新的 PoC 是否会改变打补丁立场时,微软并未直接说明,不过表示,“为了降低不可信代码带来的安全风险,我们建议客户遵循我们所发布的如何配置可信设置指南,更好地保护自身安全。除了已公布的安全特性改进外,我们将持续评估自身服务,保护客户免受类似威胁。”

Peng 提到,“这种设置需要手动启用。然而,即使在文章发布两年后,该设置仍然默认未启用。Visual Studio 未启用该特性可能受一些因素影响。”他还提到,MOTW 也并未添加到 Visual Studio 中,通过HTTP 下载的 solution (.sln) 文件无需任何与MOTW相关的提醒就可打开。

MOTW 首次在 IE 浏览器中出现,目的是对下载自互联网的文件进行标记,从而触发微软 Defender SmartScreen 执行额外的安全检查。Peng 表示,“总之,我们毫不费力就可以绕过信任区域的双重检查和MOTW,从而为不知情的用户带来巨大风险。无需SmartScreen 提醒、无需信任、无需其它交互即可办到。由于微软认为它并非漏洞,因此不会发布修复方案。”

今年早些时候,红队服务提供商 Outflank 发布了自己预构建的 Visual Studio exp,并从微软处获得类似回复,表示该 PoC 只是使用了 Visual Studio 的预期行为,并不会发布修复方案。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

微软紧急修复两个 RCE,影响 Windows Codecs 库和 Visual Studio

微软拒绝修复影响所有 Windows 版本的 “RemotePotatoo” 提权0day

Teams零点击可蠕虫跨平台 RCE 漏洞详情公开,微软评为低危且拒绝分配CVE被吐槽

微软拒绝修复滥用 MSTSC 的安全绕过缺陷

利用Microsoft Teams 执行任意 payload,微软拒绝修复

原文链接

https://www.theregister.com/2023/10/13/fresh_visual_studio_rce_exploit/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

1fc3c7f2ed2b84ec3a5957a992469140.jpeg

1296552dbf00816d5dcb2f7ab698fee8.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   c1cdbd1c7a50c64aba4299c0ba3f7015.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值