
Los investigadores de ciberseguridad han detallado una vulnerabilidad crítica de aislamiento de sesión que ha sido parcheada en Writer, una plataforma de inteligencia artificial (IA) generada por la empresa. Esta vulnerabilidad podría provocar un compromiso entre inquilinos.
Esta vulnerabilidad de un solo clic recibió el nombre en código «WriteOut» del equipo de Sand Security Research.
«Sin acceso, un extraño puede hacerse cargo de la organización Writer AI de una empresa líder en la industria con solo un enlace», dijo la firma de ciberseguridad en un informe compartido con The Hacker News.
En otras palabras, esta falla podría explotarse para tomar el control de la cuenta de escritor de una víctima y usarla para acceder a chats privados, documentos, agentes, configuraciones, modelos privados, conectores y otros datos confidenciales relacionados con las credenciales del modelo de lenguaje a gran escala (LLM).
Peor aún, dependiendo del papel de la víctima, se puede aprovechar para tomar el control administrativo. Un aspecto importante de esta falla es que no es necesario que el atacante y la víctima pertenezcan a la misma organización.
Un atacante podría crear un agente con su cuenta de Writer y compartir el enlace de vista previa. Esto por sí solo desencadena una vulnerabilidad que permite al atacante hacer clic en el enlace y secuestrar la cuenta de la víctima mientras inicia sesión con su propia sesión.
«Un atacante podría explotar la zona de pruebas administrada por IA de Writer para recopilar sesiones que pertenecen a compañías completamente diferentes y actuar como usuarios reales dentro de sus respectivas compañías, sin ningún punto de apoyo previo», dijo Sand Security.
WriteOut también socava el modelo de responsabilidad compartida al aprovechar la función de vista previa en vivo de Writer, que permite a los usuarios obtener una vista previa de las aplicaciones a través del marco de Writer, rompiendo las protecciones de aislamiento de los inquilinos.

Toda la cadena de ataque se desarrolla de la siguiente manera.
Los atacantes crean agentes con vistas previas en vivo y comparten sus enlaces de vista previa públicos. Cuando un usuario de Writer que ha iniciado sesión abre ese enlace, el navegador adjunta una cookie de sesión de Writer a la solicitud. El proxy de vista previa envía la cookie al entorno limitado del atacante. El código contenido dentro de una zona de pruebas controlada por un atacante lee el token de sesión transferido y lo roba. El atacante recupera el token y obtiene el control de la cuenta de escritor de la víctima.
Un atacante puede indicarle a un agente malicioso prediseñado que ejecute código dentro de un entorno limitado controlado y administrado, lo que le permite leer la memoria del proceso en el espacio aislado, recuperar tokens de sesión de la víctima comprometida y enviarlos a un servidor que controle.
Siguiendo la Divulgación Responsable, Writer abordó este problema impidiendo por completo la transferencia de cookies de sesión de usuario a vistas previas de sandbox y moviéndolas a un origen separado.
«El escritor no fue descuidado. Había barreras de seguridad. El filtrado en el lado de entrada intentó impedir que los usuarios leyeran variables de entorno o enviaran código claramente malicioso», dijo Sand Security. «La pregunta es qué observaron esas comprobaciones. Las instrucciones, no el comportamiento en tiempo de ejecución».
«Eludir la barrera de seguridad fue muy fácil. En lugar de pegar la carga útil en línea, simplemente le dijimos al agente que buscara y ejecutara el script remoto. La barrera de seguridad reconoció la solicitud inofensiva de ‘descargar y ejecutar’, pero la lógica de explotación real nunca apareció en el mensaje».
Source link
