Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Un’estensione di Visual Studio Code consente di rubare le password di sistema
I ricercatori di Cycode hanno individuato una vulnerabilità in Visual Studio Code che consente a estensioni malevole di ottenere token di autenticazione e le credenziali memorizzate nei gestori di password del sistema.
In VS Code le estensioni memorizzano i token d’autorizzazione forniti dagli sviluppatori per integrarsi coi servizi di terze parti. L’IDE offre una funzionalità per memorizzare i token in maniera sicura nel sistema operativo, o almeno così si pensava prima che Cycode individuasse una vulnerabilità nel processo.
Pixabay
La vulnerabilità mette a rischio non solo il singolo sviluppatore ma l’intera organizzazione, dal momento che i token solitamente appartengono a degli account aziendali.
Il problema risiede nel fatto che i token di autenticazione di Visual Studio Code non sono isolati rispetto alle estensioni dell’IDE: VS Code mette a disposizione delle estensioni Secret Storage, un’API che consente l’accesso ai token salvati sul sistema.
Qualsiasi estensione, anche malevola, può sfruttare Secret Storage per recuperare i token memorizzati nel gestore delle password, visto che Visual Studio Code vi ha accesso.
Le password sono cifrate ma, spiegano i ricercatori, non è difficile individuare la chiave di cifratura: il team di sicurezza ha scoperto che la chiave viene generata dal percorso dell’eseguibile e dall’ID della macchina, rendendo quindi molto semplice la generazione della chiave.
Pixabay
I ricercatori di Cycode hanno notificato Microsoft della vulnerabilità, ma il gigante di Redmond, pur riconoscendo l’impatto della vulnerabilità, ha deciso di non agire in quanto le estensioni non sono state pensate per essere eseguite in maniera isolata. Il bug deriva dal design stesso del processo, e per questo motivo Microsoft non rilascerà alcun fix.
Di fatto, la responsabilità rimarrà nelle mani degli sviluppatori. Cycode ricorda di limitare, per quanto possibile, il numero di estensioni di VS Code e di controllare sempre l’affidabilità delle fonti da cui provengono. Nel caso in cui un’estensione utilizzi i token o altre informazioni sensibili, è consigliabile implementare un livello ulteriore di cifratura per aumentare la sicurezza.
Condividi l'articolo
- cifratura, Microsoft, password di sistema, password manager, token di autorizzazione, Visual Studio Code
I leak del codice dei ransomware favoriscono la diffusione di nuove varianti
Smantellata 16shop, piattaforma di "phishing-as-a-service"
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
