手遅れになる前に Visual Studio Code の内蔵リバースシェルをブロックする

 (ipfyx.fr)
10 ポイント 投稿者 GN⁺ 2023-09-24 | 1件のコメント | WhatsAppで共有
  • VS Code の潜在的なセキュリティリスクに関する記事
  • 2023年7月から、Microsoft は Visual Studio Code に Reverse-Shell(リバースシェル)を内蔵し、GitHub アカウントを持つすべてのユーザーが Web 上で自分の Visual Studio デスクトップを共有できるようにした
  • この機能は、機密データを Web に露出させ、内部ネットワークをどこからでもアクセス可能にしてしまう可能性がある
  • リバースシェルは、正規かつ署名済みの Windows バイナリであるポータブル版の code.exe を使ってコマンドラインから実行できるため、どのアンチウイルスにも検知されない
  • 記事では、特定ドメインのブロック、Microsoft のアプリケーションホワイトリスト技術である Applocker の利用、リモートトンネルへのアクセスを制御するためのグループポリシーオブジェクト(GPO)の使用など、緩和策を提案している
  • ただし、これらの戦略には限界があり、完全には有効でない可能性がある
  • また、記事では code-tunnel 実行の監視、不審な子プロセスの調査、特定ファイルの生成監視、特定ドメイン宛ての Web トラフィック監視といった検知戦略も提案している
  • 著者は、グループポリシーオブジェクト(GPO)のパラメータが有用な追加機能になるだろうと提案しているが、現時点では利用できない。
    • 現時点では、***.tunnels.api.visualstudio.com および *.devtunnels.ms の2つのドメインをブロックするのが最善の戦略である

関連記事

1件のコメント

 
GN⁺ 2023-09-24
Hacker Newsの意見
  • この記事では、Visual Studio Codeに組み込まれたリバースシェルに関する潜在的なセキュリティ問題が論じられている。
  • コメント投稿者たちは、攻撃者がコマンドを実行してバイナリをアップロードできるのであれば、多くのコマンドやバイナリがネットワーク接続を開けるため、VS Codeのセキュリティは無意味だと指摘している。
  • この問題は、Raymond Chenの「気密ハッチ」の概念になぞらえられており、攻撃者がすでに最初のセキュリティ層を突破しているなら、二番目の層は無意味だという示唆である。
  • 一部のコメント投稿者は、大多数のユーザーはこれを使わないはずなので、リバースシェル機能はデフォルトで無効化されるべきだと提案している。
  • この機能が企業環境でデータ流出に使われる可能性について懸念がある。
  • 一部のユーザーは、なぜこれがオプションの拡張機能ではなく標準機能なのか疑問を呈している。
  • これがVS CodeのLive Share機能より脆弱性が多いのか少ないのかという疑問がある。
  • 一部のコメント投稿者は、この機能の誤用の可能性は、ユーザーをより尊重し、彼らが無責任に行動すると決めつけないことで緩和できると提案している。
  • 議論では、ブラウザのレンダリングプロセスに似た低権限コンテナで作業するという考え方にも触れており、コーディング環境の将来的な発展の可能性として示されている。