Microsoft Visual Studio Code'da ortaya çıkan sıfır gün açığı GitHub erişim belirteçlerinin tek tıkla ele geçirilmesine yol açabiliyor
Güvenlik araştırmacısı Ammar Askar, Visual Studio Code’un tarayıcı tabanlı sürümü github.dev üzerinde kötü amaçlı eklenti yüklenmesine imkân tanıyan bir sıfır gün açığını kamuoyuna açıkladı. Açığın GitHub OAuth belirteçlerinin ele geçirilmesine neden olabileceği belirtilirken, Microsoft ise hizmet tarafında gerekli önlemlerin alındığını ve kullanıcıların ek bir işlem yapmasının gerekmediğini duyurdu.
Güvenlik araştırmacısı Ammar Askar, Microsoft’un Visual Studio Code (VS Code) platformunda henüz yamalanmamış bir sıfır gün güvenlik açığını kamuoyuyla paylaştı. Açığın, kullanıcıların kötü niyetli bağlantılara tıklaması halinde GitHub kimlik doğrulama belirteçlerinin ele geçirilmesine olanak sağlayabildiği bildirildi.
Araştırmacının yayımladığı teknik analizde, açığın github.dev üzerinde çalışan VS Code’un web görünümü mesajlaşma mekanizmasından yararlandığı belirtildi. Paylaşılan kavram kanıtı kodunun, kötü amaçlı JavaScript çalıştırarak editör içinde tuş vuruşlarını taklit ettiği ve zararlı bir eklenti yüklediği aktarıldı.
“Belirteç belirli bir depoyla sınırlı değil”
Ammar Askar, yayımladığı açıklamada, “Bu işlevsellik, github.com tarafından github.dev’e kullanıcının adına işlem yapabilen bir OAuth belirtecinin gönderilmesiyle sağlanıyor.” ifadelerini kullandı.
Askar ayrıca, “Belirteç yalnızca etkileşim kurulan depoyla sınırlı değil. Kullanıcının erişebildiği diğer tüm depolar üzerinde de tam erişim sağlıyor.” değerlendirmesinde bulundu.
Araştırmacı, ele geçirilen belirteçler kullanılarak GitHub API üzerinden kullanıcının erişebildiği özel depoların da listelenebileceğini kaydetti.
Yama yayımlanmadan önce duyuruldu
Henüz CVE numarası almayan güvenlik açığının kamuya açıklanmadan yaklaşık bir saat önce GitHub’a bildirildiği ifade edildi. Askar, daha önce Microsoft Güvenlik Müdahale Merkezi (MSRC) ile yaşadığı süreçten memnun kalmadığını belirterek bu nedenle tam kamu açıklaması yöntemini tercih ettiğini söyledi.
Askar, “VS Code ile ilgili daha önce bildirdiğim bir hata sessizce düzeltildi ve herhangi bir güvenlik etkisi tanınmadı.” ifadelerini kullanırken, gelecekte benzer açıkları doğrudan kamuoyuna açıklayacağını belirtti.
Microsoft’tan açıklama geldi
Konuya ilişkin açıklama yapan Microsoft sözcüsü, “Güvenlik araştırmacılarının ürünlerimizin ve teknoloji ekosisteminin güvenliğini güçlendirmedeki kritik rolüne değer veriyoruz.” dedi.
Microsoft sözcüsü ayrıca, “Bildirilen sorunları hızla değerlendiriyor, uygun mühendislik ve güvenlik ekiplerini harekete geçiriyor ve müşterilerimizi korumak için gerekli önlemleri mümkün olan en kısa sürede devreye alıyoruz.” açıklamasında bulundu.
Şirket daha sonra yaptığı güncellemede, “Bu sorun hizmetlerimiz açısından giderildi ve müşterilerin herhangi bir işlem yapması gerekmiyor.” bilgisini paylaştı.
Araştırmacı, kullanıcıların ek önlem olarak tarayıcılarında github.dev alanına ait çerezleri ve yerel site verilerini temizleyebileceğini, böylece bağlantı üzerinden gerçekleştirilebilecek olası saldırılara karşı ek bir doğrulama ekranı ile karşılaşabileceklerini belirtti.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğen
0
Beğenmiyorum
0
Aşk
0
Komik
0
Öfkeli
0
Üzgün
0
Vay
0
