Ważne luki w zabezpieczeniach rozszerzeń Microsoft Visual Studio Code

Badacze zajmujący się cybersecurity ujawnili szereg luk zabezpieczeń w czterech popularnych rozszerzeniach Microsoft Visual Studio Code (VS Code), które mogą zostać wykorzystane przez cyberprzestępców do kradzieży lokalnych plików oraz zdalnego wykonywania kodu.

Wspomniane rozszerzenia zainstalowano łącznie ponad 125 milionów razy, a są to: Live Server, Code Runner, Markdown Preview Enhanced oraz Microsoft Live Preview.

„Nasze badania pokazują, że hakerowi wystarczy jedno złośliwe rozszerzenie lub pojedyncza luka w jednym rozszerzeniu, aby przeprowadzić lateralny ruch i skompromitować całe organizacje” – napisali badacze OX Security, Moshe Siman Tov Bustan i Nir Zadok, w raporcie, który udostępnili The Hacker News.

Opis luk zabezpieczeń

Szczegóły dotyczące zidentyfikowanych luk są następujące:

• CVE-2025-65717 (CVSS score: 9.1) – Luka w Live Server, która pozwala atakującym na exfiltrację lokalnych plików. Zupełny błąd polega na oszukaniu dewelopera, aby odwiedził złośliwą stronę internetową, kiedy rozszerzenie jest uruchomione, co pozwala na wydobycie plików z lokalnego serwera HTTP działającego na adresie localhost:5500 oraz ich przesłanie do kontrolowanej przez atakującego domeny. (Brak łaty)
• CVE-2025-65716 (CVSS score: 8.8) – Luka w Markdown Preview Enhanced, która umożliwia atakującym wykonywanie dowolnego kodu JavaScript poprzez przesyłanie spreparowanych plików markdown (.md), co pozwala na enumerację lokalnych portów oraz exfiltrację danych do domeny kontrolowanej przez atakującego. (Brak łaty)
• CVE-2025-65715 (CVSS score: 7.8) – Luka w Code Runner, która pozwala na wykonywanie dowolnego kodu poprzez nakłonienie użytkownika do zmodyfikowania pliku „settings.json” za pomocą phishingu lub inżynierii społecznej. (Brak łaty)
• Luka w Microsoft Live Preview pozwala atakującym uzyskać dostęp do wrażliwych plików na maszynie dewelopera poprzez oszukanie ofiary, aby odwiedziła złośliwą stronę internetową, gdy rozszerzenie jest aktywne. Wówczas staje się możliwe wysyłanie specjalnie przygotowanych żądań JavaScript do lokalnego serwera, co pozwala na enumerację i exfiltrację wrażliwych plików. (Brak CVE, naprawione potajemnie przez Microsoft w wersji 0.4.16 wydanej we wrześniu 2025 roku)

Jak zabezpieczyć środowisko deweloperskie?

Aby zabezpieczyć swoje środowisko deweloperskie, kluczowe jest unikanie stosowania niezaufanych konfiguracji, dezaktywacja lub odinstalowanie niepotrzebnych rozszerzeń, a także wzmocnienie lokalnej sieci za pomocą zapory, aby ograniczyć połączenia przychodzące i wychodzące. Ponadto, ważne jest regularne aktualizowanie rozszerzeń i wyłączanie usług opartych na localhost, gdy nie są używane.

„Źle napisane rozszerzenia, zbyt permissywne lub złośliwe mogą wykonywać kod, modyfikować pliki i pozwalać atakującym na przejęcie maszyny oraz exfiltrację informacji” – skomentowali przedstawiciele OX Security. „Utrzymywanie zainstalowanych podatnych rozszerzeń na maszynie to bezpośrednie zagrożenie dla bezpieczeństwa organizacji: wystarczy jeden klik lub pobrana repozytoria, aby skompromitować wszystko.”