Bloquer le reverse shell intégré de Visual Studio Code avant qu’il ne soit trop tard

 (ipfyx.fr)
10 points par GN⁺ 2023-09-24 | 1 commentaires | Partager sur WhatsApp
  • Un article sur les risques de sécurité potentiels de VS Code
  • Depuis juillet 2023, Microsoft a intégré à Visual Studio Code un reverse shell (Reverse-Shell), permettant à tout utilisateur disposant d’un compte GitHub de partager son Visual Studio Desktop sur le web
  • Cette fonctionnalité peut exposer des données sensibles sur le web et rendre un réseau interne accessible depuis n’importe où
  • Le reverse shell peut être lancé en ligne de commande via code.exe, la version portable du binaire Windows, qui est légitime et signée, ce qui l’empêche d’être détecté par les antivirus
  • L’article propose des stratégies d’atténuation, comme le blocage de domaines spécifiques, l’utilisation d’Applocker, la technologie de liste blanche applicative de Microsoft, et l’usage d’objets de stratégie de groupe (GPO) pour contrôler l’accès aux tunnels distants
  • Cependant, ces stratégies ont des limites et peuvent ne pas être totalement efficaces
  • L’article propose aussi des stratégies de détection, comme la surveillance de l’exécution de code-tunnel, la recherche de processus enfants suspects, la surveillance de la création de fichiers spécifiques et du trafic web vers certains domaines
  • L’auteur suggère qu’un paramètre d’objet de stratégie de groupe (GPO) serait un ajout utile, mais il n’est pas disponible pour le moment.
    • Pour l’instant, la meilleure stratégie consiste à bloquer les deux domaines **.tunnels.api.visualstudio.com et .devtunnels.ms

À lire aussi

1 commentaires

 
GN⁺ 2023-09-24
Avis Hacker News
  • L’article traite d’un problème de sécurité potentiel lié au reverse shell intégré de Visual Studio Code.
  • Des commentateurs soulignent que si un attaquant peut exécuter des commandes et téléverser des binaires, la sécurité de VS Code devient sans objet, puisque de nombreuses commandes et de nombreux binaires peuvent ouvrir des connexions réseau.
  • Le problème est comparé au concept de « pont hermétique » de Raymond Chen, avec l’idée que si un attaquant a déjà franchi le premier niveau de sécurité, le second ne sert plus à rien.
  • Certains commentateurs suggèrent que cette fonctionnalité de reverse shell devrait être désactivée par défaut, puisque la grande majorité des utilisateurs ne l’emploieront pas.
  • Des inquiétudes sont exprimées quant au risque que cette fonctionnalité soit utilisée pour l’exfiltration de données en environnement d’entreprise.
  • Certains utilisateurs se demandent pourquoi il s’agit d’une fonctionnalité intégrée par défaut plutôt que d’une extension optionnelle.
  • Des questions sont posées sur le fait de savoir si cela présente plus ou moins de vulnérabilités que la fonctionnalité Live Share de VS Code.
  • Certains commentateurs estiment que les risques de mauvais usage pourraient être atténués en respectant davantage les utilisateurs et en évitant de supposer qu’ils agiront de manière irresponsable.
  • La discussion évoque aussi l’idée de travailler dans un conteneur à faibles privilèges, similaire au processus de rendu d’un navigateur, comme piste d’évolution possible pour les environnements de développement.