บล็อกรีเวิร์สเชลล์ที่ฝังมากับ Visual Studio Code ก่อนที่จะสายเกินไป

 (ipfyx.fr)
10 คะแนน โดย GN⁺ 2023-09-24 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บทความเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่อาจแฝงอยู่ใน VS Code
  • ตั้งแต่เดือนกรกฎาคม 2023 เป็นต้นมา Microsoft ได้ฝัง Reverse-Shell (รีเวิร์สเชลล์) ไว้ใน Visual Studio Code เพื่อให้ผู้ใช้ทุกคนที่มีบัญชี GitHub สามารถแชร์ Visual Studio เดสก์ท็อปของตนผ่านเว็บได้
  • ฟีเจอร์นี้อาจทำให้ข้อมูลสำคัญรั่วไหลสู่เว็บ และทำให้เครือข่ายภายในสามารถถูกเข้าถึงได้จากทุกที่
  • เนื่องจากรีเวิร์สเชลล์สามารถรันจากบรรทัดคำสั่งด้วย code.exe เวอร์ชันพกพา ซึ่งเป็นไบนารี Windows ที่ถูกต้องตามกฎหมายและมีลายเซ็น จึงไม่ถูกตรวจจับโดยแอนติไวรัสใด ๆ
  • บทความเสนอแนวทางบรรเทาความเสี่ยง เช่น การบล็อกโดเมนเฉพาะ การใช้ Applocker ซึ่งเป็นเทคโนโลยีแอปพลิเคชันไวต์ลิสต์ของ Microsoft และการใช้ Group Policy Object (GPO) เพื่อควบคุมการเข้าถึงรีโมตทันเนล
  • อย่างไรก็ตาม กลยุทธ์เหล่านี้มีข้อจำกัดและอาจไม่ได้ผลอย่างสมบูรณ์
  • บทความยังเสนอแนวทางการตรวจจับ เช่น การมอนิเตอร์การรัน code-tunnel การตรวจสอบโปรเซสลูกที่น่าสงสัย การเฝ้าดูการสร้างไฟล์บางประเภท และการมอนิเตอร์เว็บทราฟฟิกไปยังโดเมนเฉพาะ
  • ผู้เขียนเสนอว่าพารามิเตอร์ของ Group Policy Object (GPO) จะเป็นส่วนเสริมที่มีประโยชน์ แต่ขณะนี้ยังไม่สามารถใช้งานได้
    • ณ ตอนนี้ กลยุทธ์ที่ดีที่สุดคือการบล็อกสองโดเมนคือ ***.tunnels.api.visualstudio.com และ *.devtunnels.ms

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-09-24
ความเห็นจาก Hacker News
  • บทความนี้กล่าวถึงประเด็นด้านความปลอดภัยที่อาจเกิดขึ้นซึ่งเกี่ยวข้องกับ reverse shell ที่มีมาในตัวของ Visual Studio Code
  • ผู้แสดงความคิดเห็นชี้ว่า หากผู้โจมตีสามารถรันคำสั่งและอัปโหลดไฟล์ไบนารีได้ ความปลอดภัยของ VS Code ก็แทบไม่มีความหมาย เพราะมีคำสั่งและไฟล์ไบนารีจำนวนมากที่สามารถเปิดการเชื่อมต่อเครือข่ายได้
  • ประเด็นนี้ถูกนำไปเปรียบเทียบกับแนวคิด "ช่องหน้าต่างบนเรือดำน้ำที่ปิดสนิท" ของ Raymond Chen โดยสื่อว่า หากผู้โจมตีเจาะระบบป้องกันชั้นแรกได้แล้ว ชั้นที่สองก็แทบไม่มีความหมาย
  • ผู้แสดงความคิดเห็นบางคนเสนอว่าฟังก์ชัน reverse shell ควรถูกปิดใช้งานเป็นค่าเริ่มต้น เพราะผู้ใช้ส่วนใหญ่คงไม่ได้ใช้งานมัน
  • มีความกังวลว่าฟังก์ชันนี้อาจถูกใช้เพื่อขโมยข้อมูลออกจากองค์กรในสภาพแวดล้อมระดับองค์กร
  • ผู้ใช้บางคนตั้งคำถามว่าเหตุใดสิ่งนี้จึงเป็นฟังก์ชันพื้นฐาน ไม่ใช่ส่วนขยายแบบเลือกติดตั้ง
  • มีคำถามว่าสิ่งนี้มีช่องโหว่มากกว่าหรือน้อยกว่าฟีเจอร์ Live Share ของ VS Code
  • ผู้แสดงความคิดเห็นบางคนเสนอว่า ความเป็นไปได้ในการใช้งานฟังก์ชันนี้ในทางที่ผิดอาจบรรเทาได้ด้วยการเคารพผู้ใช้ให้มากขึ้น และไม่ตั้งสมมติฐานว่าพวกเขาจะกระทำอย่างไร้ความรับผิดชอบ
  • การสนทนายังแตะถึงแนวคิดการทำงานในคอนเทนเนอร์สิทธิ์ต่ำ คล้ายกับกระบวนการเรนเดอร์ของเบราว์เซอร์ ในฐานะพัฒนาการที่อาจเกิดขึ้นในอนาคตของสภาพแวดล้อมการเขียนโค้ด