Como bloquear o reverse shell embutido do Visual Studio Code antes que seja tarde demais

 (ipfyx.fr)
10 pontos por GN⁺ 2023-09-24 | 1 comentários | Compartilhar no WhatsApp
  • Texto sobre os riscos potenciais de segurança do VS Code
  • Desde julho de 2023, a Microsoft incorporou um reverse shell ao Visual Studio Code, permitindo que qualquer usuário com uma conta do GitHub compartilhe pela web seu ambiente de trabalho do Visual Studio
  • Esse recurso pode expor dados sensíveis à web e tornar a rede interna acessível de qualquer lugar
  • O reverse shell pode ser executado pela linha de comando com a versão portátil do code.exe, um binário legítimo e assinado do Windows, por isso não é detectado por nenhum antivírus
  • O texto propõe estratégias de mitigação como bloqueio de domínios específicos, uso do Applocker, tecnologia de lista de permissões de aplicações da Microsoft, e uso de Objeto de Política de Grupo (GPO) para controlar o acesso a túneis remotos
  • No entanto, essas estratégias têm limitações e podem não ser totalmente eficazes
  • O artigo também propõe estratégias de detecção, como monitorar a execução do code-tunnel, investigar processos filhos suspeitos, monitorar a criação de arquivos específicos e o tráfego web para determinados domínios
  • O autor sugere que parâmetros de Objeto de Política de Grupo (GPO) seriam uma adição útil, mas atualmente não estão disponíveis.
    • Por enquanto, a melhor estratégia é bloquear os dois domínios ***.tunnels.api.visualstudio.com e *.devtunnels.ms

Leituras relacionadas

1 comentários

 
GN⁺ 2023-09-24
Opiniões do Hacker News
  • O artigo discute um possível problema de segurança relacionado ao shell reverso embutido no Visual Studio Code.
  • Os comentaristas observam que, se um invasor puder executar comandos e enviar binários, a segurança do VS Code se torna irrelevante, já que muitos comandos e binários podem abrir conexões de rede.
  • Esse problema é comparado ao conceito de "escotilha hermética" de Raymond Chen, sugerindo que, se o invasor já comprometeu o primeiro nível de segurança, o segundo nível perde o sentido.
  • Alguns comentaristas sugerem que, como a grande maioria dos usuários não usará isso, a funcionalidade de shell reverso deveria vir desativada por padrão.
  • Há preocupação com o potencial uso desse recurso para exfiltração de dados em ambientes corporativos.
  • Alguns usuários questionam por que isso é um recurso padrão em vez de uma extensão opcional.
  • Há perguntas sobre se isso cria mais ou menos vulnerabilidades do que o recurso Live Share do VS Code.
  • Alguns comentaristas sugerem que a possibilidade de mau uso desse recurso pode ser mitigada tratando os usuários com mais respeito e sem presumir que eles agirão de forma irresponsável.
  • A discussão também toca na ideia de trabalhar em contêineres de baixa permissão, semelhantes ao processo de renderização dos navegadores, como um possível desenvolvimento futuro dos ambientes de programação.