Ein Klick. Vollzugriff auf alle privaten Repositories Ihres Entwicklers.

Ein Klick. Vollzugriff auf alle privaten Repositories Ihres Entwicklers.

Forscher Ammar Askar veröffentlichte am 2. Juni einen funktionierenden Exploit für eine VS-Code-Zero-Day-Lücke – nachdem er Microsofts Offenlegungsprozess durchlaufen hatte und das Vertrauen in den Zeitplan verlor. Er veröffentlichte ihn öffentlich. Microsoft hatte innerhalb von 24 Stunden gepatcht.

Ziel des Angriffs: Der browserbasierte Editor von GitHub, der für schnelle Bearbeitungen direkt in GitHub ohne lokale Installation genutzt wird. Der Angriff: Ein bösartiges Jupyter-Notebook-File sendet einen versteckten Tastaturkurzbefehl, installiert still eine bösartige Extension und extrahiert den GitHub-OAuth-Token des Nutzers. Dieser Token hat vollen Lese- und Schreibzugriff auf alle Repositories, auf die der Nutzer zugreifen kann – einschließlich privater. Angreifer nutzten dies, um auf etwa 3.700 interne GitHub-Repositories zuzugreifen, bevor der Fix ausgerollt wurde.

Warum das wichtig ist: Entwickler vertrauen ihren Editing-Umgebungen blind. Ein kompromittierter Editor ist kein isoliertes Problem – er ist der Zugang zum gesamten Code-Repository, den Pipelines und den darin gespeicherten Secrets.

Stellen Sie sicher, dass Ihre Entwickler auf die aktuelle VS-Code-Version aktualisiert haben. Überprüfen Sie unbekannte OAuth-App-Autorisierungen in GitHub-Konten. Limitieren Sie Token-Berechtigungen auf das notwendige Minimum.