Memblokir reverse shell bawaan Visual Studio Code sebelum terlambat

 (ipfyx.fr)
10 poin oleh GN⁺ 2023-09-24 | 1 komentar | Bagikan ke WhatsApp
  • Tulisan tentang potensi risiko keamanan di VS Code
  • Sejak Juli 2023, Microsoft menanamkan Reverse-Shell (reverse shell) di Visual Studio Code sehingga semua pengguna yang memiliki akun GitHub dapat membagikan Visual Studio desktop mereka melalui web
  • Fitur ini dapat mengekspos data sensitif ke web dan membuat jaringan internal dapat diakses dari mana saja
  • Karena reverse shell dapat dijalankan dari baris perintah dengan code.exe versi portabel, yaitu biner Windows yang sah dan ditandatangani, fitur ini tidak terdeteksi oleh antivirus mana pun
  • Tulisan ini mengusulkan strategi mitigasi seperti memblokir domain tertentu, menggunakan Applocker, teknologi application whitelist milik Microsoft, dan menggunakan Group Policy Object (GPO) untuk mengontrol akses ke remote tunnel
  • Namun, strategi-strategi ini memiliki keterbatasan dan mungkin tidak sepenuhnya efektif
  • Artikel ini juga mengusulkan strategi deteksi seperti memantau eksekusi code-tunnel, menelusuri proses anak yang mencurigakan, memantau pembuatan file tertentu, dan memantau lalu lintas web ke domain tertentu
  • Penulis mengusulkan bahwa parameter Group Policy Object (GPO) akan menjadi tambahan yang berguna, tetapi saat ini belum tersedia.
    • Untuk saat ini, strategi terbaik adalah memblokir dua domain ***.tunnels.api.visualstudio.com dan *.devtunnels.ms

Bacaan terkait

1 komentar

 
GN⁺ 2023-09-24
Komentar Hacker News
  • Artikel tersebut membahas potensi masalah keamanan terkait reverse shell bawaan di Visual Studio Code.
  • Para komentator menunjukkan bahwa jika penyerang dapat mengeksekusi perintah dan mengunggah berkas biner, keamanan VS Code menjadi tidak berarti karena banyak perintah dan berkas biner dapat membuka koneksi jaringan.
  • Masalah ini dibandingkan dengan konsep "palka kedap air" milik Raymond Chen, yang menyiratkan bahwa jika penyerang sudah menembus lapisan keamanan pertama, maka lapisan kedua menjadi tidak berarti.
  • Beberapa komentator menyarankan bahwa fitur reverse shell seharusnya dinonaktifkan secara default karena sebagian besar pengguna tidak akan menggunakannya.
  • Ada kekhawatiran tentang kemungkinan fitur ini digunakan untuk eksfiltrasi data di lingkungan perusahaan.
  • Beberapa pengguna mempertanyakan mengapa ini menjadi fitur bawaan alih-alih ekstensi opsional.
  • Ada pertanyaan apakah ini memiliki lebih banyak atau lebih sedikit kerentanan dibandingkan fitur Live Share di VS Code.
  • Beberapa komentator menyarankan bahwa potensi penyalahgunaan fitur ini dapat dikurangi dengan lebih menghormati pengguna dan tidak berasumsi bahwa mereka akan bertindak tidak bertanggung jawab.
  • Diskusi ini menyinggung gagasan bekerja dalam container berhak akses rendah, mirip dengan proses rendering browser, sebagai kemungkinan perkembangan masa depan untuk lingkungan pemrograman.