![Araştırmacılar, Microsoft Visual Studio Installer’da Yayıncı Sahtekarlığı Hatasını Ortaya Çıkardı](https://kilalu.blog/news/2024-07-31-04:06/Araştırmacılar, Microsoft Visual Studio Installer’da Yayıncı Sahtekarlığı Hatasını Ortaya Çıkardı.jpg)
12 Haziran 2023Ravie LakshmananGüvenlik Açığı / Yazılım
![Microsoft Visual Studio Microsoft Visual Studio](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhU6i4iO8xRc5GWsxDmbPn2HhP9E6YfZwavNe29idiiv4EixkRZnWGugjM4_k3w6u2W6KWSol14cBeK1f_LZxXfdmXDaXTOHpGtL1ko6ttedoFIPiNEym-JspV1ckJOz28sBOpxP2ppCaWiejO6ZtL9NgFsNvGRJ0ihYBD4_jhYi_8_ol-RHm3ki_ft/s728-e3650/vscode.jpg)
Güvenlik araştırmacıları, kötü niyetli bir aktör tarafından meşru bir yayıncıyı taklit etmek ve kötü amaçlı uzantıları dağıtmak için kötüye kullanılabilecek Microsoft Visual Studio yükleyicisindeki “kolayca kullanılabilir” bir kusur hakkında uyarıda bulundu.
Varonis araştırmacısı Dolev Taler, “Bir tehdit aktörü, popüler bir yayıncının kimliğine bürünebilir ve hedeflenen bir sistemi tehlikeye atmak için kötü amaçlı bir uzantı yayınlayabilir.” söz konusu. “Hassas bilgileri çalmak, koda sessizce erişmek ve kodu değiştirmek veya bir sistemin tam denetimini ele geçirmek için kötü amaçlı uzantılar kullanıldı.”
Şu şekilde izlenen güvenlik açığı: CVE-2023-28299 (CVSS puanı: 5.5), Microsoft tarafından Nisan 2023 için Salı Yaması güncellemelerinin bir parçası olarak adres sahtekarlığı kusuru olarak tanımlandı.
Varonis tarafından keşfedilen hatanın, sahte yayıncı dijital imzalarına izin veren Visual Studio kullanıcı arabirimiyle ilgisi var.
Spesifik olarak, bir Visual Studio Uzantısı () açarak kullanıcıların “ürün adı” uzantı özelliğine bilgi girmesini önleyen bir kısıtlamayı önemsiz bir şekilde atlar.ALTI’YA KARŞI) bir .ZIP dosyası olarak paketleyin ve ardından manuel olarak ekleyin yeni satır karakterleri “extension.vsixmanifest” dosyasındaki “DisplayName” etiketine.
![Microsoft Visual Studio Microsoft Visual Studio](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2023/06/Arastirmacilar-Microsoft-Visual-Studio-Installerda-Yayinci-Sahtekarligi-Hatasini-Ortaya-Cikardi.jpg)
vsixmanifest dosyasına yeterince yeni satır karakteri ekleyerek ve sahte “Dijital İmza” metni ekleyerek, uzantının dijital olarak imzalanmadığına ilişkin uyarıların kolayca bastırılabileceği ve böylece bir geliştiriciyi onu yüklemesi için kandırabileceği bulundu.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Varsayımsal bir saldırı senaryosunda, kötü bir aktör, meşru bir yazılım güncellemesi olarak kamufle ederek sahte VSIX uzantısını taşıyan bir kimlik avı e-postası gönderebilir ve kurulum sonrasında hedeflenen makinede bir yer edinebilir.
Yetkisiz erişim daha sonra ağın daha derin kontrolünü ele geçirmek ve hassas bilgilerin çalınmasını kolaylaştırmak için bir fırlatma rampası olarak kullanılabilir.
Taler, “Gereken düşük karmaşıklık ve ayrıcalıklar, bu istismarın silah haline getirilmesini kolaylaştırıyor” dedi. “Tehdit aktörleri, sistemleri tehlikeye atmak amacıyla sahte kötü amaçlı uzantılar yayınlamak için bu güvenlik açığını kullanabilir.”
Popular Articles
- 19 Jul Ruhen ve Bedenen Çoktan Dark Sidea Geçmiş 16 Kötülük Yanlısı Kedi
- 05 Aug Priyanka Chopra ve Nick Jonas’ın 20 Milyon Dolar Değerindeki Lüks Malikanesini Görünce Fakirliğiniz Aklınıza Gelecek!
- 17 Aug Türkiyenin En Çok Aboneye Sahip YouTuberı Enes Batur Ayda 530 Bin TL Kazanıyor!
- 17 Jul Erkekleri Tıraş Ederek TikTokta 4 Milyondan Fazla Takipçiye Ulaşan Fenomen Erkek Kuaförü Pamellachka
- 25 Jul Kızına Devlet Dairelerinde Bankın Arkasında Oturan Suratsız Kadınlara Benziyorsun Diyen Baba
Latest Articles
- 13 Aug Tilda Swinton, James Gray, Ranveer Singh 2022 Marakeş Festivali Onur Ödülü Sahipleri Arasında
- 26 Jul Android amiral gemileri asla iPhone’u yakalayamayacak mı? Snapdragon 8 Gen 2 güçlü bir platformdur, ancak Apple A16 Bionic daha da güçlüdür
- 19 Aug Pisa Kulesini Ayakta Tuttuğunuz Fotoğraflar İçin Son Şans Olabilir: Kulenin Eğimi Azalıyor
- 01 Aug Microsoft, SQ1 İşlemciye Sahip Surface Pro Xi Duyurdu
- 28 Jul Elektrikli araç girişimi Ola Electric, 384 milyon dolar yatırım aldı
Other Articles
- Koronavirüs Renk Haritasında Mavi Kalan Tek İl: Şırnak
- Bursada baraj kenarında insan kemikleri bulundu
- İsrailin Gazzedeki hava saldırılarının yakın görüntüsü
- çalışma verilerinizi hızlı ve kolay bir şekilde değerlendirmenin profesyonel sırları — Siècle Digital
- Nutanix Hiper Bütünleşik Altyapı kategorisinde lider oldu