あるセキュリティ研究者が火曜日、MicrosoftのVS Codeに存在する脆弱性を悪用した動作可能なエクスプロイトを公開しました。この脆弱性を利用すると、攻撃者はリンクをワンクリックするだけで被害者のGitHubアクセストークンを窃取できます。研究者は、過去の脆弱性報告においてMicrosoftが取った対応を理由に、同社の公式報告プロセスを完全に迂回したと述べています。
この公開は、サイバー犯罪グループTeamPCPがVS Code向けの不正な拡張機能を通じてGitHubの内部リポジトリ数千件を侵害したとの報告からわずか数週間後のことです。VS Codeは、開発者のマシン上で動作する認証情報やトークン、ソースコードを狙うハッカーの格好の標的となり続けているMicrosoftのコードエディタです。また、Microsoftが事前調整なく脆弱性情報を公開する研究者に関してコメントし、反発を受けてから数日後というタイミングでもあります。
研究者のAmmar Askarは、VS Codeの公開問題トラッカーと合わせて、新たな概念実証(PoC)エクスプロイトを自身の個人ブログで公開しました。事前にGitHubのセキュリティ担当者に与えた猶予は、わずか約1時間に過ぎませんでした。
同氏がバグを公開に踏み切った背景には、MicrosoftのSecurity Response Center(MSRC)が以前に彼が報告した問題を、クレジットなしに「黙って」修正した上、セキュリティ上の影響はないと否定したことがあります。今後発見するVS Codeの脆弱性についても、同様に公開していく方針だと述べています。
これは、セキュリティ研究者がMicrosoftの脆弱性開示プロセスに業を煮やし、非公開での報告ではなく動作するエクスプロイトの公開を選ぶという最新の事例です。セキュリティ専門家は、この傾向が修正パッチの提供前に脆弱性にさらされる開発者や組織にとって現実のリスクを高めると警鐘を鳴らしています。
Nightmare Eclipseとして知られる別の研究者も、ここ数週間でMicrosoftとの調整なしにWindowsのゼロデイ脆弱性を複数公開しており、同社の開示対応への不満を改めて理由として挙げています。
Microsoftはこの研究者への最初の声明の中で、調整なしの公開を「決して正当化できない」と非難し、犯罪行為を助長する者に対してDigital Crimes Unit(DCU)が「訴追を続ける」と表明しました。これがセキュリティコミュニティからの反発を招くことになりました。同社はNightmare Eclipseを名指したり直接的に脅したりすることはしませんでしたが、その言い回しは脅しとして広く受け取られました。
今週に入りMicrosoftはトーンを軟化させ、脆弱性を発見・公開した研究者を「訴追する意図はない」ことを明確にする新たな声明を発表しました。また、「一部のやり取りが期待に応えられなかった」と認め、「そこから学ぼうとしている」とも述べています。
「セキュリティコミュニティは、お客様を守る上で不可欠な役割を担っています」とMicrosoftは述べています。「過去のやり取りにかかわらず、すべての研究者に対して誠実かつ敬意ある専門的な対応を提供することをお約束します。」
Microsoftは、Askarへのクレジット付与の有無、CVEが割り当てられなかった理由、修正前にgithub.devのユーザー何人が脆弱性にさらされていたかという質問に対し、本記事の公開前までに回答しませんでした。
翻訳元: https://therecord.media/researcher-publishes-github-token-stealing-exploit-microsoft
