VSCode — редактор кода или дырявое ведро? Исследователи обнаружили способ кражи токенов аутентификации

В популярном редакторе кода VSCode (Visual Studio Code) от Microsoft обнаружена уязвимость , позволяющая вредоносным расширениям получить доступ к хранилищу аутентификационных токенов в операционных системах Windows , Linux и macOS .

Эти токены используются для интеграции со сторонними сервисами и API , такими как, например, GitHub . Их кража может привести к весьма серьёзным последствиям для безопасности скомпрометированной организации, в том числе к несанкционированному доступу к системам и утечкам конфиденциальных данных.

Уязвимость была обнаружена исследователями компании Cycode , которые сообщили о ней Microsoft вместе с рабочим примером эксплуатации. Проблема вызвана отсутствием изоляции в VSCode аутентификационных токенов в «секретном хранилище» — API, которое позволяет расширениям сохранять токены в операционной системе.

Это делается с помощью Keytar — оболочки VSCode для взаимодействия с хранилищем учётных данных (в Windows), связке ключей (в macOS) или keyring (в Linux).

Таким образом, любое расширение, запущенное в VSCode, даже вредоносное, может получить доступ к секретному хранилищу и злоупотребить Keytar для извлечения сохранённых токенов.

По словам исследователей Cycode, помимо встроенной аутентификации GitHub и Microsoft, уязвимы все сохранённые учётные данные от использования сторонних расширений.

Cycode протестировали атаку, создав вредоносное расширение для кражи токенов популярной платформы разработки CircleCI . Они смогли извлечь эти секреты, не изменяя код целевого расширения.

Ключевым моментом стало то, что любое расширение VSCode авторизовано для доступа к хранилищу операционной системы, поскольку запускается из приложения, которому ОС уже предоставила такой доступ.

Также исследователями была обнаружена и другая проблема — функция «getFullKey» извлекает секреты по идентификатору расширения, который формируется из его названия и издателя. Это позволяет обмануть VSCode и получить доступ к токенам другого расширения.

Cycode сообщили Microsoft о проблеме два месяца назад, продемонстрировав работу тестового расширения по краже токенов. Тем не менее, инженеры Microsoft не посчитали это угрозой безопасности и решили сохранить существующую архитектуру секретного хранилища VSCode.