WinBoat – Une faille critique découverte dans l'outil de virtualisation

Le scénario décrit par le chercheur est le suivant : un attaquant héberge une page web malveillante et si vous visitez cette page avec votre navigateur (et sous réserve que les sécurités CORS/PNA ne bloquent pas la requête, ce qui dépend de votre config et du navigateur), elle peut envoyer des ordres à cette API locale localhost:7148.

L’API vulnérable (notamment le endpoint /update) permettrait alors de remplacer des composants internes du système invité. En gros, l’attaquant pourrait substituer le binaire guest_server légitime par une version malveillante.

Une fois que l’attaquant a compromis le conteneur Windows, il ne s’arrête pas là. Le chercheur explique que WinBoat permet au conteneur de communiquer des "entrées d’application" à l’hôte Linux. Si le conteneur compromis envoie un chemin forgé spécifiquement et que l’hôte tente de le lancer… c’est l’exécution de code arbitraire (RCE) sur votre machine Linux.

C’est un rappel assez violent que l’isolation, c’est compliqué à faire correctement, surtout quand on veut une intégration transparente entre deux systèmes.

La bonne nouvelle, c’est que le problème a été traité. La faille concernait les versions jusqu’à la v0.8.7. La version v0.9.0 introduit une authentification obligatoire pour cette API locale, avec un mot de passe aléatoire généré au lancement, ce qui coupe l’herbe sous le pied de ce type d’attaque web.

Si vous utilisez WinBoat, la mise à jour est donc plus que recommandée et si le sujet de l’isolation vous intéresse, jetez un œil à mon tuto sur
l’installation de WSL 2
ou encore à cette
autre faille RCE critique
qui a secoué le monde Linux récemment.

Bref, prudence avec les outils en beta qui exposent des ports locaux !

Source

Source : korben.info