🔍 Contexte : Le 18 juin 2026, l’Ă©quipe Microsoft Defender Security Research publie une analyse technique dĂ©taillant une chaĂźne d’exploitation baptisĂ©e AutoJack, dĂ©couverte dans AutoGen Studio, l’interface de prototypage open-source du framework multi-agents AutoGen de Microsoft Research.

⚙ MĂ©canisme d’attaque : La chaĂźne combine trois faiblesses indĂ©pendantes dans la surface MCP WebSocket d’AutoGen Studio :

  • Issue 1 (CWE-1385) : La liste blanche d’origines (http://127.0.0.1, http://localhost) bloque les navigateurs externes mais pas un agent de navigation headless tournant sur la mĂȘme machine, dont le JavaScript hĂ©rite de l’identitĂ© localhost.
  • Issue 2 (CWE-306) : Le middleware d’authentification exclut explicitement les chemins /api/mcp/* et /api/ws/*, sans que le handler WebSocket MCP n’implĂ©mente sa propre vĂ©rification. RĂ©sultat : le WebSocket MCP est accessible sans authentification quelle que soit la configuration auth.
  • Issue 3 (CWE-78) : Le paramĂštre server_params passĂ© en query string est dĂ©codĂ© en base64, parsĂ© en StdioServerParams, et transmis directement Ă  stdio_client() sans liste blanche des exĂ©cutables autorisĂ©s, permettant de spawner calc.exe, powershell.exe -enc ... ou bash -c '...'.

🎯 ScĂ©nario d’exploitation : Un attaquant hĂ©berge une page web contenant un script JavaScript qui ouvre une connexion WebSocket vers ws://localhost:8081/api/mcp/ws/<session_id>?server_params=<base64(json)>. Lorsqu’un agent AutoGen Ă©quipĂ© de capacitĂ©s de navigation (ex: MultimodalWebSurfer) visite cette page, le script s’exĂ©cute avec l’identitĂ© localhost, contourne l’auth, et AutoGen Studio spawne la commande arbitraire sous le compte du dĂ©veloppeur. Aucune interaction utilisateur supplĂ©mentaire n’est requise au-delĂ  de faire visiter la page Ă  l’agent.

đŸ› ïž Corrections appliquĂ©es : Le commit b047730 sur la branche main d’AutoGen Studio apporte :

  • Liaison des paramĂštres cĂŽtĂ© serveur via un POST prĂ©alable (plus de server_params en query string)
  • Retrait de /api/mcp de la liste d’exclusion du middleware auth
  • La surface MCP WebSocket n’a jamais Ă©tĂ© incluse dans une release PyPI (version publiĂ©e : 0.4.2.2) ; seuls les dĂ©veloppeurs ayant buildĂ© depuis le main GitHub pendant la fenĂȘtre de vulnĂ©rabilitĂ© sont exposĂ©s.

📊 DĂ©tections proposĂ©es : Des requĂȘtes KQL pour Microsoft Defender Advanced Hunting sont fournies pour dĂ©tecter les processus enfants suspects spawned par autogenstudio, les connexions WebSocket vers /api/mcp/ws/ avec server_params=, et les agents de navigation naviguant vers des domaines non-corporate.

📄 Type d’article : Publication de recherche technique par l’Ă©quipe Microsoft Defender Security Research, visant Ă  documenter la chaĂźne d’exploitation pour permettre aux dĂ©fenseurs de reconnaĂźtre ce pattern dans d’autres frameworks d’agents IA, et Ă  informer sur les corrections appliquĂ©es.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1055 — Process Injection (Defense Evasion)
  • T1106 — Native API (Execution)

IOC

  • Domaines : attacker.example — VT · URLhaus · ThreatFox
  • URLs : ws://localhost:8081/api/mcp/ws/ — URLhaus
  • Fichiers : malicious_web_server.py
  • Fichiers : web_summarizer_app.py

Malware / Outils

  • MultimodalWebSurfer (tool)
  • AutoGen Studio MCP WebSocket (other)

🟱 Indice de vĂ©rification factuelle : 70/100 (haute)

  • ✅ microsoft.com — source reconnue (liste interne) (20pts)
  • ✅ 31156 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/2 IOCs confirmĂ©s externellement (0pts)
  • ✅ 7 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-single-page-rce-host-running-ai-agent/