Cette faille dans Visual Studio Code permet à une extension de voler vos mots de passe !
En exploitant cette faille de sécurité dans Visual Studio Code à partir d'une extension, un attaquant peut voler les jetons d'authentifications stockés sur la machine. Problème, Microsoft n'a pas l'air de vouloir corriger cette vulnérabilité. Voici ce qu'il faut savoir...
Les chercheurs en sécurité de chez Cycode ont fait la découverte d'une faille de sécurité importante dans l'éditeur de code Visual Studio Code, alias VSCode. Celle-ci affecte le système d'extensions. En effet, il est possible d'ajouter des extensions dans VSCode, que ce soit pour ajouter des fonctions supplémentaires, prendre en charge un nouveau langage ou encore se connecter à un service tiers.
La vulnérabilité découverte par les chercheurs permet à un attaquant de voler les jetons d'authentifications et mots de passe stockés dans le gestionnaire d'identifiants de la machine, qu'elle soit sous Windows, Linux ou macOS, à partir d'une extension malveillante. En fait, cette vulnérabilité se situe dans l'API Secret Storage qui permet aux extensions de stocker des jetons d'authentification sur la machine locale.
Une extension malveillante peut accéder aux jetons d'authentification stockés sur la machine : c'est particulièrement dangereux, car il peut s'agir de jetons d'accès à GitLab, CircleCI, AWS, Azure, etc... Ce qui peut être lourd de conséquences si un cybercriminel met la main sur des jetons d'authentification de ce type.
Dans une démonstration, les chercheurs en sécurité ont fait une modification de l'extension officielle CircleCI, dans le but de voler les jetons d'authentification pour les envoyer vers un serveur externe contrôlé par les chercheurs.
Ils sont même allés plus loin en abusant du fonctionnement de l'application : Visual Studio Code est capable d'accéder à l'ensemble des jetons d'authentification sauvegardés par l'utilisateur. Ce qui est normal. À partir de là, ils sont parvenus à exécuter un script qui récolte l'ensemble des jetons d'authentification.
Microsoft n'envisage pas de corriger ce problème
Les chercheurs de chez Cycode ont remonté l'information sur cette vulnérabilité à Microsoft, il y a deux mois, avec un PoC fonctionnel qu'ils ont mis au point pour effectuer une démonstration concrète. Toutefois, pour le moment, Microsoft refuse de corriger cette vulnérabilité, car les extensions ne sont pas censées être cloisonnées vis-à-vis du reste de l'environnement.
Cette vulnérabilité potentielle reste non corrigée à ce jour. Méfiance lorsque vous installez une nouvelle extension ou que vous exécutez un script provenant d'Internet, cela pourrait donner des idées à certains...
