GN⁺: 너무 늦기 전에 Visual Studio Code 내장 리버스 쉘 차단하기

 (ipfyx.fr)
10P by neo 2023-09-24 | favorite | 댓글 1개
  • VS Code의 잠재적 보안 위험에 대한 글
  • 2023년 7월부터 Microsoft는 Visual Studio Code에 Reverse-Shell(리버스쉘)을 내장해 GitHub 계정을 가진 모든 사용자가 웹에서 자신의 Visual Studio 데스크톱을 공유할 수 있게 함
  • 이 기능은 웹에 민감한 데이터를 노출시키고 내부 네트워크를 어디서든 접근 가능하게 만들 수 있음
  • 리버스쉘은 합법적이고 서명된 Windows 바이너리인 휴대용 버전의 code.exe로 명령 줄에서 실행할 수 있으므로 어떤 안티바이러스에도 감지되지 않음
  • 글에서는 특정 도메인 차단, Microsoft의 애플리케이션 화이트리스트 기술인 Applocker 사용, 원격 터널에 대한 접근을 제어하기 위한 그룹 정책 객체(GPO) 사용 등의 완화 전략을 제안함
  • 그러나 이러한 전략들은 한계가 있고 완전히 효과적이지 않을 수 있음
  • 기사에서는 code-tunnel 실행 모니터링, 의심스러운 자식 프로세스 탐색, 특정 파일 생성 모니터링, 특정 도메인으로의 웹 트래픽 모니터링 등의 탐지 전략도 제안함
  • 저자는 그룹 정책 객체(GPO) 매개변수가 유용한 추가사항이 될 것이라고 제안하지만, 현재는 사용할 수 없음.
    • 현재로서는 *.tunnels.api.visualstudio.com 및 *.devtunnels.ms 두 도메인을 차단하는 것이 최선의 전략
neo 2023-09-24  [-]
Hacker News 의견
  • 기사는 Visual Studio Code의 내장된 역쉘과 관련된 잠재적 보안 문제를 논의하고 있다.
  • 댓글 작성자들은 공격자가 명령을 실행하고 이진 파일을 업로드할 수 있다면, VS Code의 보안은 많은 명령과 이진 파일이 네트워크 연결을 열 수 있기 때문에 무의미하다고 지적한다.
  • 이 문제는 Raymond Chen의 "밀폐된 갑판구" 개념과 비교되며, 공격자가 이미 첫 번째 보안 수준을 침해했다면 두 번째 수준은 무의미해진다는 제안이다.
  • 일부 댓글 작성자들은 대다수의 사용자들이 이를 사용하지 않을 것이므로 역쉘 기능은 기본적으로 비활성화되어야 한다고 제안한다.
  • 이 기능이 기업 환경에서 데이터 유출에 사용될 가능성에 대한 우려가 있다.
  • 일부 사용자들은 이것이 왜 선택적 확장이 아니라 기본 기능인지 의문을 제기한다.
  • 이것이 VS Code의 Live Share 기능보다 취약성이 더 많은지 덜한지에 대한 질문이 있다.
  • 일부 댓글 작성자들은 이 기능의 잘못된 사용 가능성을 사용자를 더 존중하고 그들이 무책임하게 행동할 것이라고 가정하지 않음으로써 완화할 수 있다고 제안한다.
  • 논의는 브라우저의 렌더링 프로세스와 유사한 저권한 컨테이너에서 작업하는 아이디어를 코딩 환경의 잠재적인 미래 발전으로 건드리고 있다.
답변달기