Thought Leadership
Ein veröffentlichter Exploit für eine ungepatchte VS-Code-Schwachstelle ermöglicht den Diebstahl von GitHub-OAuth-Token über manipulierte Links.
Der Sicherheitsforscher Ammar Askar hat den Programmcode für eine Zero-Day-Schwachstelle in Visual Studio Code öffentlich gemacht. Die Schwachstelle betrifft die browserbasierte Version github.dev, die für die Bearbeitung von GitHub-Repositorys direkt im Webbrowser verwendet wird. Microsoft klassifiziert Softwareschwachstellen als Zero-Day, wenn sie öffentlich bekannt sind oder aktiv ausgenutzt werden, bevor ein offizieller Patch des Herstellers bereitsteht. Der Angriffsvektor nutzt das isolierte Nachrichtensystem innerhalb der Webansicht (Webview) von Visual Studio Code aus.
Ein Angreifer kann ein potenzielles Opfer dazu verleiten, auf einen präparierten Link zu klicken. Der bereitgestellte Proof-of-Concept-Exploit führt daraufhin bösartigen JavaScript-Code innerhalb der Webansicht aus. Dieser Code simuliert Tastatureingaben im Haupteditor, um im Hintergrund eine schädliche Erweiterung zu installieren. Diese Erweiterung fängt das GitHub-OAuth-Token ab, das beim Laden der Seite übertragen wird, und fragt die GitHub-API ab, um alle privaten Repositorys aufzulisten, auf die das Opfer Zugriff hat.
„Diese Funktionalität wird dadurch erreicht, dass github.com ein OAuth-Token an github.dev per POST übermittelt, das es ihm ermöglicht, in Ihrem Namen mit GitHub zu interagieren. Das Token ist nicht auf das spezifische Repository beschränkt, mit dem Sie interacted haben, was bedeutet, dass es vollen Zugriff auf jedes andere Repository hat, auf das Sie Zugriff haben.“
Ammar Askar, Sicherheitsforscher
Vorläufige Schutzmaßnahmen für Anwender im Browser
Da Microsoft für diese spezifische Schwachstelle bisher keinen offiziellen Patch bereitgestellt hat und zum Zeitpunkt der Veröffentlichung noch keine CVE-Kennung vergeben wurde, müssen Anwender manuelle Gegenmaßnahmen ergreifen. Visual-Studio-Code-Nutzer können sich vor einer Ausnutzung schützen, indem sie die im Browser gespeicherten Cookies und lokalen Websitedaten für die Domain github.dev vollständig löschen. Dies kann über das Schlosssymbol oder das Einstellungs-Icon in der Adresszeile des Browsers unter den Optionen für Cookies und Gerätedaten durchgeführt werden.
Durch das Bereinigen dieser lokalen Daten wird erzwungen, dass bei einem erneuten Verbindungsversuch über einen manipulierten Link eine explizite Sicherheitswarnung erscheint. Das System blendet dann einen Dialog mit dem Hinweis ein, dass die Erweiterung GitHub Repositories sich über GitHub anmelden möchte, wodurch der automatisierte Diebstahl des Tokens unterbrochen wird.
Veröffentlichung der GitHub-Schwachstelle ohne Einhaltung der Sperrfristen
Der Entdecker der Schwachstelle entschied sich für eine unmittelbare Veröffentlichung des Fehlercodes ohne Einhaltung der üblichen Sperrfristen für eine koordinierte Offenlegung. Laut eigenen Angaben informierte Askar das GitHub-Sicherheitsteam lediglich eine Stunde vor der Publikation als reine Höflichkeit. Als primären Grund für die sofortige Veröffentlichung nannte er anhaltende negative Erfahrungen mit dem Microsoft Security Response Center (MSRC) bei früheren Meldungen von Fehlern in Visual Studio Code. In der Vergangenheit habe Microsoft von ihm gemeldete Sicherheitslücken im Stillen behoben, ohne den Entdecker zu nennen oder das tatsächliche Sicherheitsrisiko anzuerkennen. Aufgrund dieser Intransparenz kündigte der Forscher an, künftige Schwachstellen in diesem Produkt direkt vollständig publik zu machen.
Diese unkoordinierte Veröffentlichung folgt auf eine Reihe ähnlicher Vorfälle durch einen anonymen Forscher unter dem Pseudonym Nightmare Eclipse, der in den vergangenen Monaten mehrere Zero-Day-Lücken in Microsoft-Produkten wie BlueHammer, RedSun, YellowKey und UnDefend offengelegt hatte. Microsoft hatte auf diese Leaks anfänglich mit rechtlichen Schritten und Verweisen auf die Strafverfolgungsbehörden reagiert. Eine offizielle Stellungnahme von Microsoft zu der aktuellen VS-Code-Schwachstelle lag nach der Veröffentlichung des Exploits noch nicht vor.
