La vulnerabilidad crítica es el resultado de la falla de la biblioteca hcsshim
Apenas unos días antes de su publicación mensual, Microsoft lanzó un parche de emergencia para una vulnerabilidad crítica en la biblioteca de Windows Host Compute Service Shim (hcsshim) que podría permitir a los atacantes remotos ejecutar código malicioso en las computadoras con Windows.
Windows Host Compute Service Shim (hcsshim) es una biblioteca de código abierto que ayuda a "Docker para Windows" a ejecutar contenedores de Windows Server utilizando una API de gestión de contenedores de bajo nivel en Hyper-V.
Descubierta por el desarrollador suizo e investigador de seguridad Michael Hanselmann, la vulnerabilidad crítica (rastreada como CVE-2018-8115) es el resultado de la falla de la biblioteca hcsshim para validar correctamente la entrada al importar una imagen del contenedor Docker.
Esto, a su vez, permite a un atacante ejecutar de forma remota código arbitrario en el sistema operativo del host de Windows, permitiendo finalmente que el atacante cree, elimine y reemplace archivos en el host de destino.
Como explicó Hanselmann en su blog personal, "Normalmente no se espera que importar una imagen de contenedor Docker o extraer una de un registro remoto haga modificaciones al sistema de archivos host fuera de las estructuras de datos internas de Docker".
Hanselmann informó el problema a Microsoft en febrero de este año, y el gigante tecnológico resolvió la vulnerabilidad unos días antes del parche de este martes lanzando una versión actualizada de hcsshim.
Aunque a la vulnerabilidad se le ha asignado una clasificación de gravedad crítica, Microsoft dice que es poco probable la explotación de este problema.
"Para aprovechar la vulnerabilidad, un atacante colocaría código malicioso en una imagen de contenedor especialmente diseñada que, si un administrador autenticado importó (extrajo), podría causar que un servicio de administración de contenedores que utiliza la biblioteca Host Compute Service Shim ejecute código malicioso en el host de Windows", dice Microsoft en su aviso.
El parche para esta vulnerabilidad aborda la forma en que hcsshim valida la entrada de las imágenes del contenedor Docker, por lo tanto, bloquea la carga de código malicioso en archivos especialmente diseñados.
Actualmente, se encuentra disponible una versión 0.6.10 actualizada del archivo Windows Host Compute Service Shim (hcsshim) para descargar desde GitHub.
Aún no se han publicado todos los detalles de la vulnerabilidad, pero Hanselmann se compromete a publicar en profundidad el 9 de mayo detalles técnicos y un exploit de prueba de concepto para la falla, luego de un acuerdo con el centro de respuesta de seguridad de Microsoft.
El May 2018 Patch Tuesday de Microsoft se programó para su lanzamiento el 8 de mayo.
