- El equipo de investigación de seguridad de Defender de Microsoft revela una cadena de vulnerabilidad “Autojack” en Autogen Studio que permite RCE a través de sitios web maliciosos
- Las fallas incluyen el abuso del canal localhost, eludir las comprobaciones de inicio de sesión y la ejecución de código arbitrario, lo que permite a los agentes ejecutar programas proporcionados por el atacante.
- El problema solo existía en las primeras versiones de GitHub y se solucionó antes del lanzamiento; Los aviones de control local requieren aspectos destacados para una autenticación y aislamiento estrictos
El equipo de investigación de seguridad Defender de Microsoft ha revelado una cadena de vulnerabilidades en Autogen Studio que permiten que un único sitio web malicioso logre la ejecución remota de código (RCE) en un dispositivo que ejecuta un agente de IA.
AutoGen Studio es un programa desarrollado por Microsoft Research para crear agentes de IA. La cadena de vulnerabilidad se llamó “Autojack” y constaba de tres fallas que, vistas de forma aislada, no son particularmente problemáticas. Historias encadenadas, pero completamente diferentes.
“La tecnología, que llamamos autojack, hace que el agente cruce los límites de confianza del host local y se convierta en el vehículo de entrega de última milla del atacante”, explicó Microsoft en su informe.
Parche de errores
Primero, AutoGen Studio tenía un canal de control local que solo aceptaba conexiones desde “localhost”, una buena manera de bloquear atacantes externos.
Sin embargo, el navegador web de un agente de IA también cuenta como un “host local”, lo que significa que estas conexiones también serán aceptadas. Luego, para este canal en particular, se omiten las comprobaciones de inicio de sesión.
La aplicación tenía varias formas de solicitar un nombre de usuario y contraseña, pero la parte del código para manejar este canal local en particular quedó abierta.
Finalmente, casi todo lo que se le dijo al canal que ejecutara se ejecutará. Los investigadores de Microsoft pudieron lanzar un programa arbitrario, lo que significa que los actores de amenazas podrían hacer lo mismo, aunque con código malicioso.
En teoría, el ataque funcionaría así: la víctima ordenaría a su agente de inteligencia artificial que resumiera un sitio web específico. Al hacerlo, se le pedirá al agente que descargue y ejecute código malicioso que podría ser cualquier cosa, desde malware de puerta trasera hasta infostellar.
La buena noticia es que Microsoft encontró este problema y lo informó antes de que llegara a los usuarios habituales. La versión descargable oficial de Autogen Studio nunca tuvo este problema, ya que solo existía en una versión inicial en desarrollo en GitHub. Desde entonces, el equipo de Autogen logró solucionarlo.
“Si un agente puede explorar páginas que no son de confianza y hablar con servicios locales privilegiados, los loopbacks pueden convertirse en superficies de ataque y los planos de control deben autenticarse, autorizarse y aislarse”, concluyó Microsoft.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
