Een beveiligingsonderzoeker heeft een werkende exploit gepubliceerd voor een kwetsbaarheid in Microsofts code-editor VS Code, waarmee een aanvaller met één klik op een link het GitHub-toegangstoken van een slachtoffer kan stelen. De onderzoeker, Ammar Askar, gaf aan dat hij het officiële meldproces van Microsoft volledig had omzeild vanwege de wijze waarop zijn eerdere meldingen werden behandeld.

Deze publicatie volgt enkele weken na een inbraak in duizenden interne GitHub-repositories van Microsoft, uitgevoerd door de cybercrimegroep TeamPCP via een kwaadaardige extensie voor VS Code. De software is een terugkerend doelwit voor aanvallers die credentials, tokens en broncode van ontwikkelaars proberen te bemachtigen. Ook komt dit nieuws kort na kritiek op Microsoft vanwege uitspraken over onderzoekers die kwetsbaarheden openbaar maken zonder eerst met het bedrijf te coördineren.

Askar publiceerde de proof-of-concept exploit op zijn persoonlijke blog en gaf een GitHub-beveiligingscontact slechts ongeveer een uur van tevoren een seintje. Hij verklaarde dat hij de bug openbaar maakte, en dat ook voor toekomstige kwetsbaarheden in VS Code te zullen doen, nadat Microsofts Security Response Center een eerdere melding van hem stilzwijgend had opgelost zonder hem te erkennen en zonder beveiligingsimpact te erkennen.

Dit is het nieuwste voorbeeld van onderzoekers die hun geduld verliezen met Microsofts kwetsbaarheidsmeldproces en ervoor kiezen werkende exploits te publiceren in plaats van deze privé te rapporteren. Experts waarschuwen dat deze trend het risico voor ontwikkelaars en organisaties vergroot zolang er nog geen patch beschikbaar is. Ook een andere onderzoeker, bekend als Nightmare Eclipse, publiceerde recent meerdere Windows zero-days zonder coördinatie met Microsoft, eveneens vanwege onvrede over het meldproces.

Microsoft reageerde aanvankelijk scherp op deze ongereguleerde publicaties en noemde ze "nooit te rechtvaardigen", met een dreiging van juridische stappen via de Digital Crimes Unit tegen degenen die criminelen faciliteren. Deze toon leidde tot kritiek vanuit de beveiligingsgemeenschap. Later corrigeerde Microsoft die houding door te stellen dat het geen actie wil ondernemen tegen onderzoekers die kwetsbaarheden vinden en publiceren, en erkende dat eerdere interacties tekortschoten. Het bedrijf benadrukte het belang van een goede samenwerking met de beveiligingscommunity.

Microsoft gaf voorafgaand aan publicatie geen antwoord op vragen over erkenning van Askar, het ontbreken van een CVE-nummer en het aantal gebruikers van github.dev dat mogelijk was blootgesteld voordat de patch uitkwam.