AutoJack : une chaîne RCE via agent IA exploitant AutoGen Studio et MCP WebSocket

Tue, 23 Jun 2026 00:00:00 +0000

🔍 Contexte : Le 18 juin 2026, l’équipe Microsoft Defender Security Research publie une analyse technique détaillant une chaîne d’exploitation baptisée AutoJack, découverte dans AutoGen Studio, l’interface de prototypage open-source du framework multi-agents AutoGen de Microsoft Research.

⚙️ Mécanisme d’attaque : La chaîne combine trois faiblesses indépendantes dans la surface MCP WebSocket d’AutoGen Studio :

Issue 1 (CWE-1385) : La liste blanche d’origines (http://127.0.0.1, http://localhost) bloque les navigateurs externes mais pas un agent de navigation headless tournant sur la même machine, dont le JavaScript hérite de l’identité localhost.
Issue 2 (CWE-306) : Le middleware d’authentification exclut explicitement les chemins /api/mcp/* et /api/ws/*, sans que le handler WebSocket MCP n’implémente sa propre vérification. Résultat : le WebSocket MCP est accessible sans authentification quelle que soit la configuration auth.
Issue 3 (CWE-78) : Le paramètre server_params passé en query string est décodé en base64, parsé en StdioServerParams, et transmis directement à stdio_client() sans liste blanche des exécutables autorisés, permettant de spawner calc.exe, powershell.exe -enc ... ou bash -c '...'.

🎯 Scénario d’exploitation : Un attaquant héberge une page web contenant un script JavaScript qui ouvre une connexion WebSocket vers ws://localhost:8081/api/mcp/ws/<session_id>?server_params=<base64(json)>. Lorsqu’un agent AutoGen équipé de capacités de navigation (ex: MultimodalWebSurfer) visite cette page, le script s’exécute avec l’identité localhost, contourne l’auth, et AutoGen Studio spawne la commande arbitraire sous le compte du développeur. Aucune interaction utilisateur supplémentaire n’est requise au-delà de faire visiter la page à l’agent.

MCP WebSocket on CyberVeille

AutoJack : une chaîne RCE via agent IA exploitant AutoGen Studio et MCP WebSocket