AutoJack : une chaĂźne RCE via agent IA exploitant AutoGen Studio et MCP WebSocket
đ Contexte : Le 18 juin 2026, lâĂ©quipe Microsoft Defender Security Research publie une analyse technique dĂ©taillant une chaĂźne dâexploitation baptisĂ©e AutoJack, dĂ©couverte dans AutoGen Studio, lâinterface de prototypage open-source du framework multi-agents AutoGen de Microsoft Research. âïž MĂ©canisme dâattaque : La chaĂźne combine trois faiblesses indĂ©pendantes dans la surface MCP WebSocket dâAutoGen Studio : Issue 1 (CWE-1385) : La liste blanche dâorigines (http://127.0.0.1, http://localhost) bloque les navigateurs externes mais pas un agent de navigation headless tournant sur la mĂȘme machine, dont le JavaScript hĂ©rite de lâidentitĂ© localhost. Issue 2 (CWE-306) : Le middleware dâauthentification exclut explicitement les chemins /api/mcp/* et /api/ws/*, sans que le handler WebSocket MCP nâimplĂ©mente sa propre vĂ©rification. RĂ©sultat : le WebSocket MCP est accessible sans authentification quelle que soit la configuration auth. Issue 3 (CWE-78) : Le paramĂštre server_params passĂ© en query string est dĂ©codĂ© en base64, parsĂ© en StdioServerParams, et transmis directement Ă stdio_client() sans liste blanche des exĂ©cutables autorisĂ©s, permettant de spawner calc.exe, powershell.exe -enc ... ou bash -c '...'. đŻ ScĂ©nario dâexploitation : Un attaquant hĂ©berge une page web contenant un script JavaScript qui ouvre une connexion WebSocket vers ws://localhost:8081/api/mcp/ws/<session_id>?server_params=<base64(json)>. Lorsquâun agent AutoGen Ă©quipĂ© de capacitĂ©s de navigation (ex: MultimodalWebSurfer) visite cette page, le script sâexĂ©cute avec lâidentitĂ© localhost, contourne lâauth, et AutoGen Studio spawne la commande arbitraire sous le compte du dĂ©veloppeur. Aucune interaction utilisateur supplĂ©mentaire nâest requise au-delĂ de faire visiter la page Ă lâagent. ...