Underc0de - La Casa de los Informáticos

Una nueva vulnerabilidad Zero-Day descubierta en Visual Studio Code (VS Code) ha encendido las alarmas en la comunidad de ciberseguridad tras la publicación de un código de explotación funcional que permite a los atacantes robar tokens de autenticación de GitHub. El fallo, que actualmente no cuenta con un parche oficial ni un identificador CVE asignado, podría facilitar el acceso no autorizado a repositorios privados y otros recursos asociados a las cuentas de las víctimas.

El investigador de seguridad Ammar Askar fue quien dio a conocer públicamente tanto los detalles técnicos de la vulnerabilidad como una prueba de concepto (PoC) capaz de demostrar el impacto real del problema. Según explicó, el fallo afecta a la integración entre GitHub y github.dev, la versión web de Visual Studio Code que permite editar repositorios directamente desde el navegador.

La divulgación pública del exploit ha generado preocupación debido a que los atacantes podrían aprovechar esta vulnerabilidad para obtener acceso a información sensible almacenada en repositorios privados, comprometiendo proyectos de desarrollo, código fuente propietario y datos empresariales críticos.

¿Cómo funciona la vulnerabilidad Zero-Day en VS Code?

El fallo se encuentra relacionado con el sistema de comunicación utilizado por las WebViews de Visual Studio Code. Las WebViews son componentes que permiten ejecutar contenido web dentro del entorno del editor y facilitan la interacción entre extensiones y la interfaz principal de la aplicación.

De acuerdo con la investigación de Askar, un atacante puede abusar del mecanismo de intercambio de mensajes entre la WebView y el editor principal para ejecutar código JavaScript malicioso capaz de simular pulsaciones de teclado y realizar acciones automatizadas sin el consentimiento del usuario.

El escenario de ataque comienza cuando una víctima es engañada para hacer clic en un enlace especialmente diseñado. Una vez abierto el enlace, el código malicioso aprovecha la debilidad presente en github.dev para instalar silenciosamente una extensión maliciosa dentro de la sesión del navegador.

Posteriormente, dicha extensión obtiene acceso al token OAuth utilizado por GitHub para autenticar al usuario y permitir la interacción con los repositorios.

El riesgo real: acceso a todos los repositorios privados

Uno de los aspectos más preocupantes de esta vulnerabilidad es el alcance de los permisos asociados al token OAuth robado.

Según explicó el investigador, GitHub envía un token de autenticación a github.dev para permitir que el usuario interactúe con sus repositorios directamente desde la interfaz web de Visual Studio Code.

Sin embargo, el token no está limitado únicamente al repositorio específico desde el que se inició la sesión.

Esto significa que, una vez comprometido, el atacante puede utilizar dicho token para acceder a todos los repositorios privados a los que tenga permisos la víctima.

Entre las acciones potenciales que podrían realizarse destacan:

• Enumerar repositorios privados.
• Acceder al contenido completo del código fuente.
• Descargar proyectos internos.
• Consultar historiales de cambios.
• Obtener información sobre colaboradores y configuraciones.
• Exfiltrar datos confidenciales almacenados en los repositorios.

Para organizaciones que utilizan GitHub como plataforma principal de desarrollo, este escenario representa un riesgo significativo para la propiedad intelectual y la seguridad corporativa.

Publicación del exploit y divulgación responsable

La vulnerabilidad fue revelada públicamente junto con una prueba de concepto funcional, una decisión que ha generado debate dentro de la comunidad de seguridad informática.

Askar afirmó que notificó a GitHub aproximadamente una hora antes de hacer pública la investigación. Sin embargo, aclaró que su intención era realizar una divulgación completa debido a experiencias negativas previas con el proceso de gestión de vulnerabilidades de Microsoft.

Según el investigador, en ocasiones anteriores reportó vulnerabilidades relacionadas con VS Code que, según sus declaraciones, fueron corregidas sin reconocimiento formal y clasificadas como problemas sin impacto en la seguridad.

Esta situación lo llevó a adoptar una postura de divulgación pública inmediata para futuros hallazgos relacionados con Visual Studio Code.

Crecen las críticas al proceso de respuesta de seguridad de Microsoft

La polémica surge en un contexto donde varios investigadores han expresado públicamente su descontento con el funcionamiento del Microsoft Security Response Center (MSRC), el equipo responsable de gestionar reportes de vulnerabilidades en productos de Microsoft.

Durante los últimos meses, diversos fallos Zero-Day han sido revelados por investigadores independientes sin esperar los ciclos tradicionales de divulgación coordinada.

Uno de los casos más conocidos involucra al investigador anónimo conocido como "Nightmare Eclipse", responsable de revelar múltiples vulnerabilidades que afectaban a diferentes componentes del ecosistema Windows.

Entre los fallos divulgados se encuentran:

• BlueHammer.
• RedSun.
• GreenPlasma.
• MiniPlasma.
• YellowKey.
• UnDefender.

Algunos de estos problemas ya han sido vinculados a ataques reales, aumentando la presión sobre Microsoft para acelerar sus procesos de respuesta y corrección.

Microsoft responde a las críticas

Tras la publicación del nuevo Zero-Day de Visual Studio Code, Microsoft emitió una declaración oficial en la que reafirmó su compromiso con la comunidad de investigación en seguridad.

La compañía destacó que valora el trabajo realizado por los investigadores independientes y aseguró que continúa evaluando de manera rápida los problemas reportados para implementar mitigaciones y protecciones lo antes posible.

Asimismo, Microsoft señaló que, aunque los investigadores pueden decidir cuándo y cómo divulgar sus hallazgos, la empresa mantiene equipos especializados preparados para analizar vulnerabilidades, desarrollar correcciones y ofrecer orientación de seguridad a sus clientes.

La declaración busca reducir la tensión generada por las recientes controversias relacionadas con la divulgación de vulnerabilidades y la gestión de reportes por parte del MSRC.

Cómo protegerse mientras no exista un parche oficial

Dado que actualmente no existe una actualización de seguridad disponible para corregir este fallo, los usuarios de Visual Studio Code y GitHub deben adoptar medidas preventivas para minimizar el riesgo de explotación.

La principal recomendación consiste en eliminar las cookies y los datos locales asociados a github.dev en el navegador.

Para hacerlo, se deben seguir estos pasos:

• Abrir github.dev en el navegador.
• Hacer clic en el icono de configuración ubicado junto a la barra de direcciones.
• Acceder a la sección "Cookies y datos del sitio".
• Seleccionar "Gestionar los datos del sitio en el dispositivo".
• Eliminar todos los datos almacenados relacionados con github.dev.

Al realizar este procedimiento, GitHub mostrará una advertencia explícita cuando una extensión intente iniciar sesión utilizando la cuenta del usuario, proporcionando una capa adicional de protección frente a intentos de explotación.

Un nuevo recordatorio sobre los riesgos de las extensiones y aplicaciones web

La aparición de este nuevo Zero-Day en Visual Studio Code demuestra una vez más cómo los mecanismos de integración entre aplicaciones web, navegadores y plataformas de desarrollo pueden convertirse en objetivos atractivos para los ciberdelincuentes.

El robo de tokens OAuth representa una amenaza especialmente peligrosa porque permite a los atacantes actuar en nombre de la víctima sin necesidad de conocer contraseñas o superar sistemas de autenticación multifactor.

Mientras Microsoft y GitHub analizan el problema y desarrollan una solución definitiva, las organizaciones y desarrolladores deben extremar las precauciones al interactuar con enlaces externos y revisar cuidadosamente los permisos otorgados a extensiones y aplicaciones conectadas a sus cuentas de GitHub.

Fuente: https://www.bleepingcomputer.com/