Kein Bock auf Microsoft: Forscher leakt Zero-Day-Exploit für Github-Datenklau

Nach Chaotic Eclipse ist nun mit Ammar Askar offenbar der nächste Sicherheitsforscher derart verärgert über Microsofts Reaktion auf seine Arbeit, dass er anfängt, Exploits für ungepatchte Sicherheitslücken zu leaken. Bei dem jüngsten Leak handelt es sich laut Blogbeitrag des Forschers(öffnet im neuen Fenster) um einen 1-Click-Exploit, mit dem Angreifer Github-Tokens und daraufhin Daten aus privaten Repositorys abgreifen können.

Die Zielperson muss für eine erfolgreiche Ausnutzung lediglich auf einen bösartigen Link klicken. Daraufhin öffnet sich im Webbrowser die unter Github.dev gehostete Webversion von VSCode. Dort werden durch den Javascript-Code des Exploits Tastatureingaben simuliert, um automatisch eine Erweiterung des Angreifers zu installieren.

Diese Erweiterung extrahiert anschließend das Github-Token des anvisierten Nutzers und fragt damit über die Github-API alle Repositorys ab, auf die die Zielperson Zugriff hat – darunter auch die privaten. Askars zu Demonstrationszwecken entwickelte Erweiterung listet die Repos lediglich in einer Meldung auf. Das zeigt jedoch, dass Angreifer damit private Daten von Github-Nutzern ausleiten können.

Askar betont, dass der Zugriff des Angreifers mit dem erbeuteten Token nicht auf das Repository beschränkt ist, auf welches der Link zum Exploit verweist. "Er hat vollen Zugriff auf jedes Repo, auf das Sie Zugriff haben", schreibt der Forscher. Wer sich für technische Details zu der Lücke interessiert, findet diese in Askars Blogbeitrag(öffnet im neuen Fenster).

Anwender, die auf Github.dev noch nie zuvor aktiv waren, sind dem Angriff nicht ganz so hilflos ausgeliefert. In diesem Fall erscheint nach dem Klick auf den Exploit-Link eine Meldung, mit der die Plattform abfragt, ob sich die Erweiterung des Angreifers mit dem Github-Konto des Opfers anmelden darf. Wer den Browsertab an dieser Stelle einfach schließt, bleibt geschützt.

Bei Nutzern, die eine solche Meldung in der Vergangenheit schon mal bestätigt hatten, wird der Exploit hingegen sofort und ohne jegliche Vorwarnung ausgeführt. Askar empfiehlt daher, die im Browser gespeicherten Websitedaten für die Domain Github.dev zu löschen(öffnet im neuen Fenster).

Das setzt auch den Zustand der Meldung wieder zurück, so dass die Anmeldung mit dem Github-Konto beim nächsten Besuch erst wieder bestätigt werden muss. Dadurch sind vonseiten des anvisierten Nutzers immerhin zwei Klicks erforderlich, bevor der Exploit zur Ausführung gelangt.