Nubo

Microsoft emite patch de emergência para falha crítica em contêineres do Windows

Apenas alguns dias antes de seu lançamento mensal de patches, a Microsoft lançou um patch de emergência para uma vulnerabilidade crítica na biblioteca do Windows Host Compute Service Shim (hcsshim) que poderia permitir que atacantes remotos executassem código mal-intencionado em computadores Windows.

Windows Host Compute Service O Shim (hcsshim) é uma biblioteca de software livre que ajuda o “Docker para Windows” a executar contêineres do Windows Server usando uma API de gerenciamento de contêiner de baixo nível no Hyper-V.

Descoberto pelo pesquisador suíço e pesquisador de segurança Michael Hanselmann, a vulnerabilidade crítica (rastreada como CVE-2018-8115) é o resultado da falha da biblioteca hcsshim em validar corretamente a entrada ao importar uma imagem contêiner do Docker.
   
Isso, por sua vez, permite que um invasor execute remotamente código arbitrário no sistema operacional do host Windows, permitindo que o invasor crie, remova e substitua arquivos no host de destino.

Como Hanselmann explicou em seu blog pessoal, “Não é esperado que importar uma imagem de contêiner do Docker ou extrair uma de um registro remoto faça modificações no sistema de arquivos do host fora das estruturas de dados internas do Docker.”

Hanselmann relatou a questão à Microsoft em fevereiro deste ano, e a gigante de tecnologia corrigiu a vulnerabilidade alguns dias antes do patch deste mês, lançando uma versão atualizada do hcsshim.

Embora a vulnerabilidade tenha recebido uma classificação de gravidade crítica, a Microsoft afirma que a exploração desse problema é improvável.

“Para explorar a vulnerabilidade, um invasor colocaria um código mal-intencionado em uma imagem de contêiner especialmente criada que, se um administrador autenticado fosse importado (puxado), poderia causar um serviço de gerenciamento de contêineres usando a biblioteca de Calcular do Host para executar código mal-intencionado no host do Windows “, Diz a Microsoft em seu advisory.
    
O patch para essa vulnerabilidade aborda a maneira como o hcsshim valida a entrada de imagens do contêiner do Docker, bloqueando, assim, o carregamento de código mal-intencionado em arquivos especialmente criados.

Uma versão atualizada 0.6.10 do arquivo Shim do Windows Host Compute Service (hcsshim) está disponível agora para download no GitHub.

Detalhes completos da vulnerabilidade ainda não foram divulgados, mas Hanselmann promete publicar detalhes técnicos detalhados e uma exploração de prova de conceito para a falha em 9 de maio, após um acordo com o centro de resposta de segurança da Microsoft.

O Patch Tuesday da Microsoft em maio de 2018 está agendado para ser lançado em 8 de maio.