Pengembang wajib waspada. Sebuah kerentanan keamanan jenis zero-day yang ditemukan di Visual Studio Code (VS Code) berpotensi memungkinkan penyerang mencuri token otentikasi GitHub hanya dengan satu klik.
Baca Juga: 71 Aplikasi dan Mini Program di China Terbukti Langgar Aturan Privasi Data Pengguna
Kerentanan ini dikategorikan sebagai zero-day karena telah diungkapkan secara publik dan belum ada patch resmi yang tersedia dari Microsoft.
Dilansir dari BleepingComputer, peneliti keamanan Ammar Askar baru-baru ini merilis kode eksploitasi untuk kerentanan ini. Celah ini memanfaatkan sistem pengiriman pesan webview yang terisolasi (sandboxed webview message-passing system) di VS Code. Dengan mengeksploitasi sistem ini, penyerang dapat menginstal ekstensi berbahaya yang kemudian mencuri token OAuth GitHub saat token tersebut diteruskan ke github.dev, versi VS Code berbasis browser yang digunakan untuk bekerja dengan repositori GitHub.
Baca Juga: Microsoft Rombak Fondasi Windows 11 untuk Chip AI Super NVIDIA RTX Spark
Askar menjelaskan bahwa eksploitasi ini bekerja dengan menjalankan JavaScript berbahaya di dalam webview untuk mensimulasikan penekanan tombol di editor utama. Hal ini memungkinkan instalasi ekstensi jahat yang dirancang untuk mengekstrak token OAuth GitHub yang dikirim ke github.
dev. Setelah token berhasil dicuri, ekstensi tersebut dapat melakukan kueri API GitHub untuk mengidentifikasi semua repositori pribadi yang dapat diakses oleh korban.
“Fungsionalitas ini dicapai oleh github.com yang mengirimkan token OAuth ke github.dev yang memungkinkannya berinteraksi dengan GitHub atas nama Anda,” ujar Askar. Ia menambahkan, “Token tersebut tidak terbatas pada repositori tertentu yang Anda interaksikan, artinya token tersebut memiliki akses penuh ke setiap repositori lain yang Anda miliki aksesnya.” Ini berarti, jika token berhasil dicuri, penyerang bisa mendapatkan akses luas ke semua proyek dan data sensitif pengguna di GitHub.
Meskipun kerentanan ini belum ditambal dan belum memiliki ID CVE, pengguna VS Code dapat mengambil langkah-langkah perlindungan sementara. Askar menyarankan untuk menghapus cookie dan data situs lokal untuk github.
dev di browser mereka. Caranya adalah dengan mengklik ikon Pengaturan di bilah URL, lalu masuk ke opsi Cookie dan data situs, kemudian pilih Kelola data situs di perangkat.
Langkah ini akan memastikan bahwa pengguna akan menerima peringatan “Ekstensi ‘GitHub Repositories’ ingin masuk menggunakan GitHub” ketika mengklik tautan yang mencoba mengeksploitasi celah ini. Peringatan tersebut dapat menjadi indikator adanya upaya eksploitasi, memberikan kesempatan bagi pengguna untuk tidak melanjutkan.
Askar mengungkapkan bahwa ia memberi tahu GitHub satu jam sebelum mengungkapkan bug ini secara publik. Ia memilih pengungkapan publik segera karena pengalaman negatif sebelumnya dengan proses respons keamanan Microsoft (MSRC), di mana bug VS Code yang dilaporkan sebelumnya diperbaiki secara diam-diam tanpa kredit atau pengakuan atas dampak keamanannya.
“Itu sebagian besar adalah bentuk kesopanan kepada GitHub, niat di sini adalah pengungkapan publik penuh. Dalam pengalaman saya sebelumnya melaporkan bug github.dev kepada mereka, mereka memberi tahu Anda bahwa itu di luar cakupan dan menyuruh untuk melaporkannya ke MSRC. Dan seperti yang saya uraikan dalam artikel, saya benar-benar tidak ingin berurusan dengan MSRC mengenai bug VSCode,” jelasnya.
Askar melanjutkan, “Untuk meringkas terakhir kali saya berinteraksi dengan MSRC mengenai pelaporan bug VSCode, itu adalah pengalaman yang mengerikan di mana mereka secara diam-diam memperbaiki ‘bug yang saya tunjukkan tanpa kredit apa pun. Mereka juga menandainya sebagai tidak memiliki dampak keamanan apa pun. Seperti yang saya sebutkan dalam postingan itu, ke depannya saya akan melakukan pengungkapan publik penuh untuk setiap bug keamanan yang saya temukan di VSCode.”
Baca Juga: Microsoft Ubah Arah Windows 11: Jadi Platform Pengembangan AI dan Agen Cerdas
Insiden ini mengikuti serangkaian pengungkapan zero-day lainnya di berbagai produk Microsoft oleh seorang peneliti keamanan anonim dengan nama ‘Nightmare Eclipse’, yang juga menyatakan ketidakpuasannya terhadap cara MSRC menangani proses pengungkapan. Microsoft sebelumnya bahkan sempat mengancam tindakan hukum terhadap Nightmare Eclipse, sebelum kemudian menyatakan akan bekerja “dengan penegak hukum sebagaimana mestinya” ketika “seseorang melanggar hukum dan terlibat dalam aktivitas berbahaya yang menyebabkan kerugian nyata bagi pelanggan kami.” Hingga saat ini, Microsoft belum memberikan komentar mengenai celah zero-day VS Code yang diungkapkan oleh Askar.
Leave a Comment