1

Meus 2 cents,

De fato eh uma vulnerabilidade chata - mas ela eh mais perigosa para o servidor remoto, uma vez que o desktop onde roda o vscode ja precisaria esta comprometido.

O que me espantou (no artigo do medium) foi a resposta da Microsoft:

Thank you again for submitting this report to the Microsoft Security Response Center (MSRC).

After careful investigation, this case does not meet Microsoft's bar for immediate servicing as, for the attack to occur, the attacker must first achieve arbitrary code execution at the victim user on the victim's Windows machine. However, we have shared the report with the team responsible for maintaining the product or service. They will take appropriate action as needed to help keep customers protected.

MSRC prioritizes vulnerabilities that are assessed as an Important or Critical severity. Since this case was below the bar for immediate servicing, it is not eligible for bounty, and no CVE will be issued. MSRC will not be tracking this issue further, and no additional updates will be provided.

Obrigado novamente por enviar este relatório ao Microsoft Security Response Center (MSRC).

Após uma análise cuidadosa, concluímos que este caso não atende aos critérios da Microsoft para uma correção imediata. Isso porque, para que o ataque ocorra, o invasor precisa primeiro obter execução arbitrária de código no usuário vítima, em sua máquina Windows. No entanto, compartilhamos o relatório com a equipe responsável pela manutenção do produto ou serviço. Ela tomará as medidas apropriadas, conforme necessário, para ajudar a manter os clientes protegidos.

O MSRC prioriza vulnerabilidades classificadas com severidade Importante ou Crítica. Como este caso ficou abaixo do limite estabelecido para correção imediata, ele não é elegível para recompensa (bug bounty) e nenhum CVE será emitido. O MSRC não continuará acompanhando este problema e não fornecerá atualizações adicionais.

Ou seja: Para eles, nao eh nada tao importante assim.

Agora, imagine este tipo de situacao em cascata: um atacante usando pacotes npm envenenados (o que tem acontecido bastante) contamina onde roda o VSCode (maquina do desenvolvedor ou equivalente) e insere um servico que fica analisando as atividades e injeta o codigo no script e toma conta da maquina remota. Pois eh...

Obrigado por compartilhar !

Saude e Sucesso !

Este post foi favoritado via extensão TABNEWS FAVORITOS

Tem curiosidade sobre IA ? Da uma olhada no meu LIVRO: IA PARA ENGENHEIROS

Carregando publicação patrocinada...
1

Cara, o que mais eu estou vendo sobre segurança são exatamente as vulnerabilidades "supply chain", principalmente no NPM. O complicado de tudo isso é que geral ignora ou realmente é ignorante nessa questão, ai faz cagada.