Çok geç olmadan Visual Studio Code’un yerleşik reverse shell özelliğini engellemek

 (ipfyx.fr)
10 puan yazan GN⁺ 2023-09-24 | 1 yorum | WhatsApp'ta paylaş
  • VS Code’un potansiyel güvenlik risklerine dair bir yazı
  • Microsoft, Temmuz 2023’ten beri Visual Studio Code’a Reverse-Shell (reverse shell) özelliğini yerleştirerek GitHub hesabı olan tüm kullanıcıların web üzerinden kendi Visual Studio masaüstünü paylaşabilmesini sağlıyor
  • Bu özellik, hassas verileri web’e açığa çıkarabilir ve iç ağın her yerden erişilebilir hale gelmesine neden olabilir
  • Reverse shell, taşınabilir sürümdeki code.exe ile komut satırından çalıştırılabildiği için — bu da meşru ve imzalı bir Windows ikili dosyasıdır — hiçbir antivirüs tarafından tespit edilmez
  • Yazıda, belirli alan adlarını engelleme, Microsoft’un uygulama beyaz listeleme teknolojisi Applocker’ı kullanma ve uzak tünellere erişimi kontrol etmek için Grup İlkesi Nesnesi (GPO) kullanma gibi azaltma stratejileri öneriliyor
  • Ancak bu stratejilerin sınırlamaları var ve tamamen etkili olmayabilirler
  • Makale ayrıca code-tunnel çalıştırılmasını izleme, şüpheli alt süreçleri inceleme, belirli dosyaların oluşturulmasını izleme ve belirli alan adlarına giden web trafiğini izleme gibi tespit stratejileri de öneriyor
  • Yazar, Grup İlkesi Nesnesi (GPO) parametrelerinin faydalı bir ek olacağını öneriyor, ancak şu anda mevcut değil
    • Şimdilik en iyi strateji, ***.tunnels.api.visualstudio.com ve *.devtunnels.ms olmak üzere bu iki alan adını engellemek

İlgili okumalar

1 yorum

 
GN⁺ 2023-09-24
Hacker News görüşleri
  • Makale, Visual Studio Code'un yerleşik reverse shell özelliğiyle ilgili olası bir güvenlik sorununu tartışıyor.
  • Yorum yapanlar, bir saldırgan komut çalıştırabiliyor ve ikili dosya yükleyebiliyorsa, ağ bağlantısı açabilen çok sayıda komut ve ikili dosya bulunduğu için VS Code güvenliğinin anlamsız hale geldiğine dikkat çekiyor.
  • Bu sorun, Raymond Chen'in "hermetik olarak kapatılmış kapak" kavramıyla karşılaştırılıyor; saldırgan ilk güvenlik katmanını zaten aşmışsa ikinci katmanın anlamsızlaştığı öne sürülüyor.
  • Bazı yorumcular, kullanıcıların büyük çoğunluğunun buna ihtiyaç duymayacağını, bu yüzden reverse shell özelliğinin varsayılan olarak devre dışı bırakılması gerektiğini öneriyor.
  • Bu özelliğin kurumsal ortamlarda veri sızdırmak için kullanılabileceğine dair endişeler var.
  • Bazı kullanıcılar, bunun neden isteğe bağlı bir eklenti yerine varsayılan bir özellik olduğunu sorguluyor.
  • Bunun VS Code'un Live Share özelliğine kıyasla daha mı fazla yoksa daha mı az güvenlik açığına sahip olduğu soruluyor.
  • Bazı yorumcular, bu özelliğin kötüye kullanım ihtimalinin, kullanıcılara daha fazla saygı gösterip onların sorumsuz davranacağını varsaymayarak azaltılabileceğini öne sürüyor.
  • Tartışma, tarayıcıların render sürecine benzer şekilde düşük ayrıcalıklı bir container içinde çalışma fikrine de değinerek bunun kodlama ortamlarının gelecekteki olası gelişimlerinden biri olabileceğini ima ediyor.