PoC divulgado sem aviso prévio
Uma vulnerabilidade zero-day no Visual Studio Code permite que atacantes roubem tokens OAuth do GitHub com um único clique. O pesquisador Ammar Askar publicou proof-of-concept funcional no dia 2 de junho sem notificação prévia à Microsoft, citing experiências negativas com o MSRC. A falha atinge o github.dev (VS Code baseado em navegador) e concede acesso completo a todos os repositórios da vítima — incluindo repositórios privados — sem restrição de escopo.
Cadeia de ataque em um clique
O exploit explora o sistema de passagem de mensagens entre webviews sandboxed do VS Code. Ao clicar em um link malicioso, a vítima abre uma sessão no github.dev onde JavaScript executado dentro de uma webview simula pressionamentos de tecla no editor principal. Isso instala silenciosamente uma extensão maliciosa que intercepta o token OAuth enviado ao github.dev. Com o token em mãos, o atacante consulta a API do GitHub para enumerar todos os repositórios privados acessíveis pela vítima.
O ponto crítico: o token não é limitado ao repositório interagido. Ele tem escopo total sobre todos os repositórios que a conta pode acessar — leitura e escrita. Um único clique compromete todo o ambiente de código da vítima.
Contexto: tensão entre pesquisadores e Microsoft
A divulgação sem aviso prévio reflete um padrão crescente de frustração com o MSRC. Askar relatou que, em reporte anterior de falha no VS Code, a Microsoft corrigiu o problema silenciosamente sem crédito e classificou-o como sem impacto de segurança. Outro pesquisador, conhecido como “Nightmare Eclipse”, divulgou recentemente seis zero-days do Windows — incluindo falhas ativamente exploradas — após a Microsoft ameaçar ação legal.
| Zero-day | Tipo | Status |
|---|---|---|
| BlueHammer | Escalonamento de privilégios | Em exploração ativa |
| RedSun | Escalonamento via Defender | Em exploração ativa |
| GreenPlasma | Bypass do BitLocker | PoC publicado |
| MiniPlasma | Escalonamento de privilégios | PoC publicado |
| UnDefend | Bloqueia atualizações do Defender | PoC publicado |
Como se proteger sem correção
- Limpe dados do github.dev: acesse as configurações do navegador, vá em Cookies e dados do site → Gerenciar dados no dispositivo, e remova todo o conteúdo armazenado para github.dev. Isso força o navegador a exibir o aviso “A extensão ‘GitHub Repositories’ deseja fazer login usando GitHub” ao acessar links que tentem explorar a falha.
- Revogue tokens ativos: acesse Settings → Developer settings → Personal access tokens no GitHub e revogue tokens suspeitos ou não reconhecidos.
- Desconfie de links para github.dev: até que a Microsoft publique correção, trate qualquer link que abra repositórios no github.dev como potencialmente malicioso.
Este caso não é isolado — um zero-day anterior no VS Code já havia exposto riscos semelhantes de roubo de token. A história de ataques à cadeia de suprimentos do GitHub demonstra que o ecossistema de desenvolvimento precisa de defesa mais robusta contra exploração de ferramentas essenciais.