Bloquear la reverse shell integrada de Visual Studio Code antes de que sea demasiado tarde

 (ipfyx.fr)
10 puntos por GN⁺ 2023-09-24 | 1 comentarios | Compartir por WhatsApp
  • Un artículo sobre los posibles riesgos de seguridad de VS Code
  • Desde julio de 2023, Microsoft integró una reverse shell en Visual Studio Code para que cualquier usuario con una cuenta de GitHub pueda compartir su escritorio de Visual Studio desde la web
  • Esta función puede exponer datos sensibles en la web y hacer que una red interna sea accesible desde cualquier lugar
  • La reverse shell puede ejecutarse desde la línea de comandos con la versión portátil de code.exe, un binario legítimo y firmado de Windows, por lo que no es detectada por ningún antivirus
  • El artículo propone estrategias de mitigación como bloquear dominios específicos, usar Applocker, la tecnología de lista blanca de aplicaciones de Microsoft, y usar Objetos de Directiva de Grupo (GPO) para controlar el acceso a los túneles remotos
  • Sin embargo, estas estrategias tienen limitaciones y pueden no ser completamente efectivas
  • El artículo también propone estrategias de detección como monitorear la ejecución de code-tunnel, buscar procesos hijo sospechosos, monitorear la creación de archivos específicos y monitorear el tráfico web hacia dominios específicos
  • El autor sugiere que los parámetros de Objetos de Directiva de Grupo (GPO) serían una adición útil, pero actualmente no están disponibles.
    • Por ahora, la mejor estrategia es bloquear los dos dominios ***.tunnels.api.visualstudio.com y *.devtunnels.ms

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-09-24
Comentarios en Hacker News
  • El artículo analiza un posible problema de seguridad relacionado con la shell inversa integrada de Visual Studio Code.
  • Quienes comentan señalan que, si un atacante puede ejecutar comandos y subir binarios, la seguridad de VS Code pierde sentido, ya que muchos comandos y binarios pueden abrir conexiones de red.
  • Este problema se compara con el concepto de "escotilla hermética" de Raymond Chen, sugiriendo que, si el atacante ya comprometió el primer nivel de seguridad, el segundo nivel deja de tener sentido.
  • Algunas personas sugieren que la función de shell inversa debería estar desactivada por defecto, ya que la gran mayoría de los usuarios no la usará.
  • Existe preocupación por la posibilidad de que esta función se use para la exfiltración de datos en entornos corporativos.
  • Algunas personas se preguntan por qué esto es una función predeterminada en lugar de una extensión opcional.
  • También se plantea si esto tiene más o menos vulnerabilidades que la función Live Share de VS Code.
  • Algunas personas sugieren que la posibilidad de mal uso de esta función podría mitigarse respetando más a los usuarios y no asumiendo que actuarán de manera irresponsable.
  • La discusión también toca la idea de trabajar en un contenedor de bajos privilegios, similar al proceso de renderizado de un navegador, como una posible evolución futura de los entornos de programación.