Mercado fechado
  • BOVESPA

    111.212,05
    -2.218,49 (-1,96%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    54.544,61
    -19,66 (-0,04%)
     
  • PETROLEO CRU

    76,54
    -2,33 (-2,95%)
     
  • OURO

    1.940,30
    -5,00 (-0,26%)
     
  • BTC-USD

    23.017,50
    -120,18 (-0,52%)
     
  • CMC Crypto 200

    521,13
    +278,45 (+114,74%)
     
  • S&P500

    4.048,86
    -27,74 (-0,68%)
     
  • DOW JONES

    33.667,72
    -418,32 (-1,23%)
     
  • FTSE

    7.761,11
    -10,59 (-0,14%)
     
  • HANG SENG

    22.072,18
    +229,85 (+1,05%)
     
  • NIKKEI

    27.346,88
    +19,77 (+0,07%)
     
  • NASDAQ

    12.160,75
    +8,75 (+0,07%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,5490
    +0,0334 (+0,61%)
     

Brechas de verificação podem levar a ataques por extensões do Visual Studio

Uma série de falhas de verificação na biblioteca de extensões do Microsoft Visual Studio podem levar a ataques contra desenvolvedores de software e golpes contra a cadeia de suprimentos. O problema está ligado à falta de checagens profundas sobre a autenticidade das contas criadas no marketplace da plataforma, permitindo que um indivíduo malicioso se passe facilmente por um fornecedor certificado de soluções.

São diversos os problemas apontados pela empresa de cibersegurança Aqua Security. No principal deles, essa falta de checagem permite que usuários se passem por outros, com a única diferença perceptível estando na URL de acesso à extensão. Aos criminosos, é possível usar nomes, detalhes de publicação e até os mesmos repositórios oficiais para entregar códigos maliciosos aos desenvolvedores.

O mesmo também vale para o selo de verificação dado aos desenvolvedores de extensões para o Visual Studio. De acordo com os pesquisadores, a única checagem feita é quanto ao dono da conta ser, também, responsável pelo domínio indicado por ele; ou seja, bastaria que um bandido adquirisse uma URL e a registrasse no sistema para conseguir o indicador, aumentando ainda mais o alcance de uma solução maliciosa.

<em>Exemplo de página falsa, que simula aparência de extensão popular para o VS Studio; URL, número de downloads e reviews seriam únicas maneiras de diferenciar, enquanto sistemas de checagem foram considerados insuficientes (Imagem: Reprodução/Aqua Security)</em>
Exemplo de página falsa, que simula aparência de extensão popular para o VS Studio; URL, número de downloads e reviews seriam únicas maneiras de diferenciar, enquanto sistemas de checagem foram considerados insuficientes (Imagem: Reprodução/Aqua Security)

Aumenta o risco, de acordo com a Aqua Security, o fato de todo código baixado para o Visual Studio rodar com os mesmos privilégios do usuário que tem o software aberto. Além dos ataques contra a cadeia de suprimentos, a partir de implementações maliciosas que podem ser colocadas em aplicações legítimas, há também o risco de contaminação dos próprios trabalhadores do setor a partir do download de malware.

Em uma prova de conceito, os pesquisadores criaram uma conta falsa se passando pelo formatador de código Prettier, que acumula mais de 27,9 milhões de instalações na plataforma. A versão falsa ficou no ar por mais de dois dias e, nesse período, acumulou mais de 1.000 downloads por desenvolvedores de todo o mundo, ou vítimas em potencial, antes de ser retirada do ar pela Microsoft.

Enquanto os especialistas indicam que não houve uma campanha em grande escala contra usuários do Visual Studio, isso pode mudar a qualquer momento na medida em que os criminosos buscam vias de aumentar seu poder de fogo. Por isso, a recomendação é quanto à aplicação de medidas mais fortes de verificação por marketplaces que fornecem códigos e extensões, de forma a garantir que indivíduos maliciosos não se passem por desenvolvedores reais.

Aos usuários, é sempre importante prestar atenção no que está sendo baixado. Através das falhas, os criminosos podem simular perfis e soluções, mas não números de download e reviews do original, que servem como indicativo de soluções certificadas e confiáveis. O ideal é procurar apenas estas, evitando aquelas que tenham sido publicadas há pouco tempo ou tenham poucas instalações e comentários.

Fonte: Canaltech

Trending no Canaltech: