Eingebaute Reverse Shell in Visual Studio Code blockieren, bevor es zu spät ist

 (ipfyx.fr)
10 Punkte von GN⁺ 2023-09-24 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Beitrag über potenzielle Sicherheitsrisiken in VS Code
  • Seit Juli 2023 hat Microsoft in Visual Studio Code eine Reverse-Shell-Funktion integriert, mit der alle Nutzer mit einem GitHub-Konto ihren eigenen Visual-Studio-Desktop im Web teilen können
  • Diese Funktion kann sensible Daten im Web offenlegen und interne Netzwerke von überall aus zugänglich machen
  • Die Reverse Shell kann über die Befehlszeile mit der portablen Version von code.exe ausgeführt werden, einem legitimen und signierten Windows-Binary, und wird daher von keiner Antivirensoftware erkannt
  • Der Beitrag schlägt Minderungsstrategien vor, darunter das Blockieren bestimmter Domains, den Einsatz von Applocker, Microsofts Application-Whitelisting-Technologie, sowie die Nutzung von Gruppenrichtlinienobjekten (GPO), um den Zugriff auf Remote-Tunnel zu steuern
  • Diese Strategien haben jedoch Grenzen und sind möglicherweise nicht vollständig wirksam
  • Der Artikel schlägt außerdem Erkennungsstrategien vor, etwa die Überwachung der Ausführung von code-tunnel, die Untersuchung verdächtiger Kindprozesse, die Überwachung der Erstellung bestimmter Dateien und die Überwachung des Webverkehrs zu bestimmten Domains
  • Der Autor schlägt vor, dass ein Gruppenrichtlinienobjekt-(GPO-)Parameter eine nützliche Ergänzung wäre, derzeit ist er jedoch nicht verfügbar.
    • Vorerst ist die beste Strategie, die beiden Domains ***.tunnels.api.visualstudio.com und *.devtunnels.ms zu blockieren

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-24
Hacker-News-Kommentare
  • Der Artikel diskutiert ein potenzielles Sicherheitsproblem im Zusammenhang mit der eingebauten Reverse Shell von Visual Studio Code.
  • Die Kommentierenden weisen darauf hin, dass die Sicherheit von VS Code bedeutungslos ist, wenn ein Angreifer Befehle ausführen und Binärdateien hochladen kann, da viele Befehle und Binärdateien Netzwerkverbindungen öffnen können.
  • Dieses Problem wird mit Raymond Chens Konzept des „luftdicht verschlossenen Lukendeckels“ verglichen; die These ist, dass die zweite Sicherheitsebene bedeutungslos ist, wenn ein Angreifer bereits die erste Ebene kompromittiert hat.
  • Einige Kommentierende schlagen vor, dass die Reverse-Shell-Funktion standardmäßig deaktiviert sein sollte, da die große Mehrheit der Nutzer sie nicht verwenden wird.
  • Es gibt Bedenken, dass diese Funktion in Unternehmensumgebungen zur Datenexfiltration genutzt werden könnte.
  • Einige Nutzer fragen sich, warum dies keine optionale Erweiterung, sondern eine Standardfunktion ist.
  • Es wird gefragt, ob dies mehr oder weniger Angriffsfläche bietet als die Live-Share-Funktion von VS Code.
  • Einige Kommentierende schlagen vor, dass sich das Missbrauchspotenzial dieser Funktion dadurch mindern ließe, dass man die Nutzer stärker respektiert und nicht davon ausgeht, dass sie sich verantwortungslos verhalten werden.
  • Die Diskussion streift die Idee, in einem Container mit niedrigen Rechten zu arbeiten, ähnlich dem Rendering-Prozess eines Browsers, als mögliche zukünftige Entwicklung von Coding-Umgebungen.