SecBoard
Zurück zur Übersicht

Cursor Flaw Lets Malicious Cloned Repositories Trigger Windows Code Execution

The Hacker News·
Originalartikel lesen bei The Hacker News

Eine kritische Sicherheitslücke in der Code-Editor-Software Cursor für Windows ermöglicht die automatische Ausführung bösartiger git.exe-Dateien in geklonten Repositories. Ohne Benutzerinteraktion oder Warnung können Angreifer so beliebigen Code mit den Rechten des Benutzers ausführen, inklusive Zugriff auf SSH-Keys und Cloud-Tokens. Nutzer sollten Cursor-Projekte nur aus vertrauenswürdigen Quellen öffnen und die Software umgehend aktualisieren, sobald ein Patch verfügbar ist.

Kurzfassung

Eine kritische Sicherheitslücke in der Code-Editor-Software Cursor für Windows ermöglicht die automatische Ausführung bösartiger git.exe-Dateien in geklonten Repositories. Dies führt ohne Benutzerinteraktion zur Ausführung von beliebigem Code mit den Rechten des Benutzers. Angreifer könnten so Zugriff auf sensible Daten wie SSH-Keys und Cloud-Tokens erlangen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Alle Windows-Benutzer der Code-Editor-Software Cursor.

Warum relevant

Organisationen, deren Entwickler Cursor für Windows nutzen, sind einem hohen Risiko ausgesetzt. Ein Angreifer könnte durch das Klonen eines bösartigen Repositories die Kontrolle über die Entwickler-Workstation erlangen und sensible Zugangsdaten kompromittieren.

Realistisches Worst Case

Ein Angreifer erlangt vollständige Kontrolle über die Entwickler-Workstation, stiehlt SSH-Keys und Cloud-Tokens und nutzt diese für weitere Angriffe auf die Infrastruktur des Unternehmens, wie z.B. den Zugriff auf Quellcode-Repositories oder Cloud-Ressourcen.

Handlungsempfehlung

Benutzer sollten Cursor-Projekte nur aus vertrauenswürdigen Quellen öffnen und die Software umgehend aktualisieren, sobald ein Patch verfügbar ist. Bis dahin ist äußerste Vorsicht beim Öffnen von Repositories geboten.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, welche Entwickler in Ihrer Organisation Cursor für Windows verwenden.
  • Stellen Sie sicher, dass alle Entwickler über die Risiken des Öffnens von nicht vertrauenswürdigen Repositories informiert sind.
  • Implementieren Sie Richtlinien, die das Klonen und Öffnen von Repositories aus unbekannten oder nicht verifizierten Quellen einschränken.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
ExecutionT1204 User ExecutionHigh„Ohne Benutzerinteraktion oder Warnung können Angreifer so beliebigen Code mit den Rechten des Benutzers ausführen“
Defense EvasionT1036 MasqueradingLow„bösartige git.exe-Dateien“ (könnte auf Masquerading hindeuten, indem eine legitime ausführbare Datei imitiert wird)
Credential AccessT1552 Unsecured CredentialsHigh„inklusive Zugriff auf SSH-Keys und Cloud-Tokens.“
Offene Punkte
  • Der genaue CVE-Identifier für diese Schwachstelle ist im Artikel nicht angegeben.
  • Es wird nicht spezifiziert, welche spezifischen Versionen von Cursor betroffen sind, außer dass es sich um die Windows-Version handelt.
  • Der genaue Zeitpunkt, wann ein Patch verfügbar sein wird, ist nicht angegeben.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Windows extern erreichbar?