Kerentanan zero-day pada Visual Studio Code (VS Code) memungkinkan peretas mencuri token autentikasi GitHub hanya dengan satu kali klik. Seorang peneliti keamanan telah merilis kode exploit untuk celah ini, yang memanfaatkan sistem pengiriman pesan webview yang tidak aman.
Baca Juga: Google Tambahkan Perlindungan Panggilan Deepfake AI di Android
Dilansir dari BleepingComputer, kerentanan ini memungkinkan pemasangan ekstensi berbahaya saat pengguna mengakses github.dev, versi browser dari VS Code yang digunakan untuk bekerja pada repositori GitHub. Token OAuth yang dikirim oleh github.com ke github.dev memberikan akses penuh ke semua repositori yang dapat diakses korban, bukan hanya repositori yang sedang dibuka.
Peneliti Ammar Askar menjelaskan bahwa exploit bekerja dengan menjalankan JavaScript berbahaya di dalam webview untuk mensimulasikan penekanan tombol di editor utama dan menginstal ekstensi yang mengambil token OAuth. “Token tidak terbatas pada repositori tertentu yang Anda interaksikan, artinya token memiliki akses penuh ke setiap repositori lain yang Anda miliki aksesnya,” ujar Askar.
Baca Juga: Kerentanan Kritis Kirki Dieksploitasi untuk Membajak Akun Admin WordPress
Hingga saat ini, Microsoft belum merilis patch untuk kerentanan ini dan belum ada CVE ID yang ditetapkan. Namun, pengguna dapat melindungi diri dengan menghapus cookies dan data situs lokal untuk github.
dev di browser melalui pengaturan URL bar. Langkah ini akan memunculkan peringatan saat ada tautan mencurigakan yang mencoba mengeksploitasi celah ini.
Askar memilih untuk melakukan pengungkapan publik penuh karena pengalaman buruk sebelumnya dengan Microsoft Security Response Center (MSRC). “Itu sebagian besar sebagai bentuk hormat kepada GitHub, tujuannya adalah pengungkapan publik penuh. Dalam pengalaman saya melaporkan bug github.dev kepada mereka, mereka mengatakan itu di luar cakupan dan suruh lapor ke MSRC. Dan seperti yang saya uraikan, saya benar-benar tidak ingin berurusan dengan MSRC untuk bug VS Code,” jelasnya.
“Singkatnya, terakhir kali saya berinteraksi dengan MSRC melaporkan bug VS Code, itu adalah pengalaman yang mengerikan di mana mereka diam-diam memperbaiki bug yang saya tunjukkan tanpa memberikan kredit. Mereka juga menandainya tidak memiliki dampak keamanan. Mulai saat itu, saya akan melakukan pengungkapan publik penuh untuk setiap bug keamanan yang saya temukan di VS Code,” tambah Askar.
Baca Juga: Microsoft Hadirkan Perintah Linux ke Windows Melalui Proyek Coreutils
Kasus ini menambah daftar panjang zero-day yang diungkapkan secara publik oleh peneliti anonim, termasuk BlueHammer, RedSun, GreenPlasma, MiniPlasma, YellowKey, dan UnDefend, yang juga muncul akibat ketidakpuasan terhadap proses respons keamanan Microsoft. BleepingComputer telah menghubungi Microsoft untuk komentar, namun belum mendapatkan tanggapan hingga berita ini ditulis.
Leave a Comment