Pesquisadores de cibersegurança revelaram detalhes de uma vulnerabilidade crítica de isolamento de sessão, já corrigida, no Writer, uma plataforma corporativa de inteligência artificial generativa que poderia levar à violação entre tenants.
A falha, que exigia apenas um clique, recebeu o codinome WriteOut e foi atribuída à equipe de pesquisa da Sand Security.
“Um atacante externo poderia sair de nenhum acesso para assumir qualquer organização do Writer AI dentro de empresas líderes do setor, com nada mais do que um link”, afirmou a Sand Security em um relatório compartilhado.
Na prática, a falha poderia ser explorada para sequestrar a conta Writer de uma vítima e usá-la para acessar conversas privadas, documentos e outros dados sensíveis relacionados a agentes, configurações, modelos privados, conectores e credenciais de modelos de linguagem de grande porte, os LLMs.
Pior ainda, o ataque poderia ser usado para obter controle administrativo, dependendo do cargo da vítima.
Um ponto importante é que o atacante e a vítima não precisavam pertencer à mesma organização.
O invasor podia criar um agente em sua própria conta Writer e compartilhar um link de pré-visualização.
Isso bastava para disparar a vulnerabilidade, tornando possível assumir a conta de uma vítima que clicasse no link enquanto estivesse autenticada com sua própria sessão.
“O atacante pode abusar do sandbox gerenciado por IA do Writer para coletar sessões pertencentes a empresas completamente isoladas e agir dentro de cada uma delas como um usuário real, sem qualquer ponto de apoio prévio em lugar nenhum”, afirmou a Sand Security.
A WriteOut também enfraquecia o modelo de responsabilidade compartilhada, pois quebrava as proteções de isolamento entre tenants ao explorar o recurso de pré-visualização ao vivo do Writer, que permite aos usuários visualizar a aplicação por meio do Writer Framework.
A cadeia de ataque ocorria da seguinte forma:
O atacante criava um agente com pré-visualização ao vivo e compartilhava seu link público de pré-visualização.
Quando um usuário autenticado do Writer abria esse link, o navegador anexava o cookie de sessão do Writer à requisição.
O proxy da pré-visualização encaminhava esse cookie para o sandbox do atacante.
O código executado dentro do sandbox sob controle do atacante lia o token de sessão encaminhado e o exfiltrava.
O atacante reutilizava o token e assumia o controle da conta Writer da vítima.
Como o atacante podia instruir seu agente malicioso previamente preparado a executar código dentro do sandbox controlado e gerenciado, era possível ler a memória do processo do sandbox, recuperar o token de sessão exfiltrado da vítima e enviá-lo para um servidor mantido por ele.
Após a divulgação responsável, o Writer corrigiu o problema ao impedir completamente o encaminhamento do cookie de sessão do usuário para as pré-visualizações em sandbox e ao movê-las para uma origem isolada.
“O Writer não foi descuidado; havia mecanismos de proteção.
A filtragem na entrada tentava bloquear usuários de ler variáveis de ambiente ou enviar código obviamente malicioso”, disse a Sand Security.
“O problema era o que essas verificações analisavam: a instrução, e não o comportamento em tempo de execução.”
“Contornar essa proteção foi bastante simples: em vez de colar o payload diretamente, simplesmente instruímos o agente a buscar e executar um script remoto.
O mecanismo de proteção viu apenas uma solicitação aparentemente inofensiva de ‘baixar e executar’, e a lógica real do exploit nem apareceu no prompt.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...