Microsoft Visual Studio Kodu, Visual Studio, Intellij Fikir ve İmleç gibi entegre geliştirme ortamlarının (IDES) yeni bir çalışması, genişletme doğrulama sürecini nasıl ele aldıkları ve sonuçta saldırganların geliştirici makinelerinde kötü amaçlı kod yürütmesini sağlayan zayıflıklar ortaya koydu.
Ox güvenlik araştırmacıları NIR Zadok ve Moshe Siman Tov Bustan, Hacker News ile paylaşılan bir raporda, “Visual Studio kodundaki kusurlu doğrulama kontrollerinin yayıncıların doğrulanmış simgeyi korurken uzantılara işlevsellik eklemelerine izin verdiğini keşfettik.” Dedi. Diyerek şöyle devam etti: “Bu, kötü niyetli uzantıların doğrulanmış ve onaylanmış görünme potansiyeline neden olur ve yanlış bir güven duygusu yaratır.”
Özellikle analiz, Visual Studio Kodunun “Marketplace.visualStudio” alanına bir HTTP Post isteği gönderdiğini buldu[.]com “bir uzantının doğrulanıp doğrulanmadığını veya başka türlü olup olmadığını belirlemek için.
Sömürü yöntemi esas olarak, Microsoft’unki gibi zaten doğrulanmış bir uzantı ile aynı doğrulanabilir değerlere sahip kötü niyetli bir uzantı oluşturmayı ve güven kontrollerini atlamayı içerir.
Sonuç olarak, Rogue uzantılarının şüphesiz geliştiricilere doğrulanmış görünmesine izin verirken, aynı zamanda işletim sistemi komutlarını yürütebilen kod içerir.
Güvenlik açısından, bu, kötü aktörlerin eklentileri resmi pazarın dışına dağıttığı klasik bir genişleme yan yükleme kötüye kullanımı vakasıdır. Uygun kod imzalama uygulama veya güvenilir yayıncı doğrulaması olmadan, meşru görünümlü uzantılar bile tehlikeli komut dosyalarını gizleyebilir.
Saldırganlar için bu, uzaktan kod yürütülmesine ulaşmak için düşük bariyer giriş noktası açar; bu, hassas kimlik bilgilerinin ve kaynak kodunun genellikle erişilebilir olduğu geliştirme ortamlarında özellikle ciddi olan bir risk.
Siber güvenlik şirketi tarafından gösterilen bir kavram kanıtı (POC), uzantı bir Windows makinesinde hesap makinesi uygulamasını açacak şekilde yapılandırıldı, böylece temel ana bilgisayardaki komutları yürütme yeteneğini vurguladı.
Doğrulama isteklerinde kullanılan değerleri belirleyerek ve bunları değiştirerek, kötü niyetli uzantının meşru görünmesine neden olacak şekilde bir VSIX paket dosyası oluşturmanın mümkün olduğu bulunmuştur.
Ox Security, doğrulama için kullanılan değerleri doğrulanmış statülerini kaybetmelerini sağlamadan değiştirerek Intellij Fikir ve İmleç gibi diğer IDE’lerde kusuru yeniden üretebildiğini söyledi.
Sorumlu açıklamalara yanıt olarak Microsoft, davranışın tasarım gereği olduğunu ve değişikliklerin, tüm platformlarda varsayılan olarak etkinleştirilen genişletme imzası doğrulaması nedeniyle VSIX uzantısının piyasaya yayınlanmasını önleyeceğini söyledi.
Bununla birlikte, siber güvenlik şirketi, kusurun 29 Haziran 2025 kadar yakın zamanda kullanılabilir olduğunu buldu. Hacker News, yorum için Microsoft’a ulaştı ve geri duyursak hikayeyi güncelleyeceğiz.
Bulgular bir kez daha, sadece uzantıların doğrulanmış sembolüne güvenmenin riskli olabileceğini gösteriyor, çünkü saldırganlar geliştiricileri bilgisi olmadan kötü niyetli kod çalıştırmaya kandırabilir. Bu tür riskleri azaltmak için, çevrimiçi olarak paylaşılan VSIX uzantı dosyalarını kullanmak yerine doğrudan resmi pazarlardan uzatma yüklemeniz önerilir.
Araştırmacılar, “Uzantılara kötü amaçlı kod enjekte etme, bunları VSIX/ZIP dosyaları olarak paketleme ve doğrulanmış sembolleri birden fazla büyük geliştirme platformunda korurken yükleme yeteneği ciddi bir risk oluşturmaktadır.” Dedi. “Bu güvenlik açığı özellikle GitHub gibi çevrimiçi kaynaklardan uzantıları yükleyen geliştiricileri etkiler.”