### Microsoft herstelt kwetsbaarheid in AutoGen Studio

Microsoft heeft een kwetsbaarheid in de interface van AutoGen Studio ontdekt, genaamd AutoJack, die aanvallers in staat kon stellen om kwaadaardige commando’s uit te voeren op het systeem door simpelweg een schadelijke webpagina te bezoeken.

AutoGen Studio is het grafische onderdeel van AutoGen, Microsofts open-source raamwerk voor het bouwen van AI-systemen met meerdere agenten. Met dit raamwerk kunnen ontwikkelaars AI-agenten creëren die met elkaar samenwerken, gereedschappen gebruiken, internet browsen, code uitvoeren, API’s gebruiken en verbinding maken met externe systemen.

Het project is erg populair, met meer dan 59.000 sterren en bijna 9.000 forks op GitHub. Volgens Microsoft was de impact van AutoJack beperkt omdat het probleem tijdens de ontwikkeling werd aangepakt.

### AutoJack-details

Microsoft legt uit dat de AutoJack-aanval gebaseerd is op drie afzonderlijke zwakheden in AutoGen Studio:

1. De MCP WebSocket vertrouwt verbindingen van localhost, waardoor een agent op dezelfde machine kan worden misleid om te denken dat kwaadaardige JavaScript afkomstig is van een vertrouwde bron.
2. AutoGen Studio’s authenticatiemiddleware sluit de routes /api/mcp/* uit van controle, terwijl het MCP WebSocket-uiteinde zelf geen authenticatie implementeert.
3. De MCP WebSocket accepteert een base64-gecodeerde server_params waarde uit de URL en stuurt deze door naar de code die processen start, wat aanvallers de mogelijkheid geeft om willekeurige PowerShell- of Bash-commando’s uit te voeren.

In een realistisch scenario dat Microsoft heeft gepresenteerd, kan kwaadwillende JavaScript op een pagina die door een ontwikkelaar wordt bezocht, verbinding maken met AutoGen Studio’s lokale MCP-uiteinde. De payload geeft vervolgens opdracht om een commando uit te voeren met de rechten van het account van de ontwikkelaar. Microsoft demonstreerde dit door de Windows-rekenmachine te starten.

Gebruikers die AutoGen Studio installeren via het Python Package Index (PyPI) werden echter nooit aan de kwetsbare code blootgesteld. Het huidige pakket, autogenstudio 0.4.2.2, bevat deze zwakheden niet.

### Aanbevelingen van Microsoft

Microsoft adviseert gebruikers die AutoGen Studio installeren om dit “uitsluitend als ontwikkelaar prototype in een geïsoleerde omgeving” te doen, die niet met het internet is verbonden. Tevens benadrukt de projectbeheerder dat het project niet moet worden gebruikt met een agent die onbeveiligde inhoud kan browseren of uitvoeren.

“Run AutoGen Studio onder een account met beperkte rechten in een sandbox of container, zodat eventuele toekomstige kwetsbaarheden beperkt blijven tot een ontwikkelaarsprofiel en niet uw standaardaccount beïnvloeden,” aldus Microsoft.

Veiligheidsteams schatten dat slechts 54% van de succesvolle aanvallen worden geregistreerd, en slechts 14% wordt gemeld. De rest blijft onopgemerkt in uw omgeving. Het whitepaper van Picus laat zien hoe simulaties van breaches en aanvallen uw SIEM- en EDR-regels testen, zodat bedreigingen niet onopgemerkt blijven.

[Naar het whitepaper]

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.