Brechas de verificação podem levar a ataques por extensões do Visual Studio

Uma série de falhas de verificação na biblioteca de extensões do Microsoft Visual Studio podem levar a ataques contra desenvolvedores de software e golpes contra a cadeia de suprimentos. O problema está ligado à falta de checagens profundas sobre a autenticidade das contas criadas no marketplace da plataforma, permitindo que um indivíduo malicioso se passe facilmente por um fornecedor certificado de soluções.

• 6 linguagens de programação que favorecem o desenvolvimento de ambientes seguros
• Como funcionam segurança e usabilidade no desenvolvimento remoto de software?

São diversos os problemas apontados pela empresa de cibersegurança Aqua Security. No principal deles, essa falta de checagem permite que usuários se passem por outros, com a única diferença perceptível estando na URL de acesso à extensão. Aos criminosos, é possível usar nomes, detalhes de publicação e até os mesmos repositórios oficiais para entregar códigos maliciosos aos desenvolvedores.

O mesmo também vale para o selo de verificação dado aos desenvolvedores de extensões para o Visual Studio. De acordo com os pesquisadores, a única checagem feita é quanto ao dono da conta ser, também, responsável pelo domínio indicado por ele; ou seja, bastaria que um bandido adquirisse uma URL e a registrasse no sistema para conseguir o indicador, aumentando ainda mais o alcance de uma solução maliciosa.

Aumenta o risco, de acordo com a Aqua Security, o fato de todo código baixado para o Visual Studio rodar com os mesmos privilégios do usuário que tem o software aberto. Além dos ataques contra a cadeia de suprimentos, a partir de implementações maliciosas que podem ser colocadas em aplicações legítimas, há também o risco de contaminação dos próprios trabalhadores do setor a partir do download de malware.

Em uma prova de conceito, os pesquisadores criaram uma conta falsa se passando pelo formatador de código Prettier, que acumula mais de 27,9 milhões de instalações na plataforma. A versão falsa ficou no ar por mais de dois dias e, nesse período, acumulou mais de 1.000 downloads por desenvolvedores de todo o mundo, ou vítimas em potencial, antes de ser retirada do ar pela Microsoft.

Enquanto os especialistas indicam que não houve uma campanha em grande escala contra usuários do Visual Studio, isso pode mudar a qualquer momento na medida em que os criminosos buscam vias de aumentar seu poder de fogo. Por isso, a recomendação é quanto à aplicação de medidas mais fortes de verificação por marketplaces que fornecem códigos e extensões, de forma a garantir que indivíduos maliciosos não se passem por desenvolvedores reais.

Aos usuários, é sempre importante prestar atenção no que está sendo baixado. Através das falhas, os criminosos podem simular perfis e soluções, mas não números de download e reviews do original, que servem como indicativo de soluções certificadas e confiáveis. O ideal é procurar apenas estas, evitando aquelas que tenham sido publicadas há pouco tempo ou tenham poucas instalações e comentários.

Fonte: Aqua Security