Araştırmacılar, popüler bir AI kaynak kodu düzenleyicisi olan imleçte yapılan bir ayarın, kullanıcıların bilgisayarlarında gizlice kötü amaçlı kod çalıştırması için saldırganlar tarafından kaldırılabilir.
İmleç AI düzenleyicisinde sömürülebilir bir güvenlik açığı
İmleç, Microsoft tarafından geliştirilen bir kod düzenleyicisi olan Visual Studio Kodu’nun (VS kodunun) AI-Augmented çatalıdır.
VS Code’un Çalışma Alanı Güven özelliği varsayılan olarak etkinleştirilir, kullanıcılar kod depolarına göz attıklarında, hiçbir (potansiyel olarak kötü niyetli) kodun, açık onayları olmadan çalışma alanlarında otomatik olarak çalışabilmesini sağlar.
İmleç, öte yandan, Workspace Trust özelliğine sahip gemiler kapalı ve bu, Oasis güvenlik araştırmacılarına göre, “bir projenin, klasörü açtığınız anda bir görevi yürütmesini söyleyen gizli bir ‘Autorun’ talimatı içerebileceği anlamına gelir: istem, istem, rıza yok.
Saldırganlar, halka açık bir depoda “klasörde çalıştır” ayarına sahip kötü amaçlı bir görev içeren bir taahhütte bulunabilir ve bir kullanıcı depoyu imleçte açtığında, görev kullanıcının oturumunda sessizce kodu çalıştırır.
Saldırganlar böylece hassas bilgileri ve kimlik bilgilerini çalabilir, dosyaları değiştirebilir ve daha fazlasını yapabilir.
Ayrıca, geliştirici dizüstü bilgisayarlar bulut anahtarları, PATS, API jetonları ve SaaS oturumları aracılığıyla güçlü erişimi devraldığından, “Autorun varsayılan olarak etkinleştirildiğinde, bubi sıkışmış bir repo, genellikle geniş izinler taşıyan insan olmayan kimlikler de dahil olmak üzere bir makineden CI/CD ve bulutu hızla döndürebilir” dedi.
Risk azaltma ve tespit
Bu riski azaltmanın kolay bir yolu, İmleçte Çalışma Alanı Güvenini Açmaktır. Ancak – kod editörünün arkasındaki şirketin Oasis’e söylediği gibi – Workspace Trust AI ve diğer imleç özelliklerini devre dışı bırakır. Ve bu özellikler, kullanıcıların bu özel kod düzenleyicisini kullanmasının ana nedeni olabilir.
Bu uygulanabilir bir çözüm değil, Oasis araştırmacıları ayarlayarak tüm otomatik görev yürütmeyi devre dışı bırakmayı tavsiye ediyor Task.allowautomatictasks: “Kapalı”ve bilinmeyen depoların farklı bir editör veya daha güvenli bir ortamda (örn. Tek kullanımlık bir kap / sanal makine) açılması.
Geliştiriciler ayrıca, önemli şifreleri veya anahtarları her uygulama için erişilebilir hale getirecek şekilde saklamaktan kaçınmalıdır. Bunun yerine, bunları sadece gerçekten ihtiyacınız olduğunda yüklemelidirler.
İmleç geliştiren şirket olan Anysphere, “çalışma alanı güveni konumu ve isteyen kullanıcılar ve kuruluşlar için etkinleştirmek için talimatlar” ı açıklayacak güncellenmiş güvenliği yayınlamayı taahhüt etti. Ancak, en azından şimdilik, varsayılan çalışma alanı güven ayarını değiştirdiğinden bahsedilmiyor.
OASIS araştırmacıları (zararsız) bir kavram kanıtı yayınladı vscode/tasks.json ve işletmeler için tehdit avı tavsiyesi vermişlerdir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!