Uma falha crítica de segurança na biblioteca padrão Rust pode ser explorada para atingir usuários do Home windows e realizar ataques de injeção de comando.
A vulnerabilidade, rastreada como CVE-2024-24576, tem pontuação CVSS de 10,0, indicando gravidade máxima. Dito isto, afeta apenas cenários em que arquivos em lote são invocados no Home windows com argumentos não confiáveis.
“A biblioteca padrão Rust não escapou adequadamente dos argumentos ao invocar arquivos em lote (com as extensões bat e cmd) no Home windows usando a API Command”, disse o grupo de trabalho Rust Safety Response em um comunicado divulgado em 9 de abril de 2024.
“Um invasor capaz de controlar os argumentos passados para o processo gerado poderia executar comandos shell arbitrários, ignorando o escape.”
A falha afeta todas as versões do Rust anteriores a 1.77.2. Pesquisador de segurança RyotaK foi creditado por descobrir e relatar o bug ao Centro de Coordenação CERT (CERT/CC).
RyotaK disse que a vulnerabilidade – codinome BatBadBut – afeta várias linguagens de programação e surge quando a “linguagem de programação envolve a função CreateProcess (no Home windows) e adiciona o mecanismo de escape para os argumentos do comando”.
Mas, como nem todas as linguagens de programação abordam o problema, recomenda-se aos desenvolvedores que tenham cautela ao executar comandos no Home windows.
“Para evitar a execução inesperada de arquivos em lote, você deve considerar mover os arquivos em lote para um diretório que não esteja incluído na variável de ambiente PATH”, disse RyotaK em um conselho aos usuários.
“Nesse caso, os arquivos em lote não serão executados a menos que o caminho completo seja especificado, portanto, a execução inesperada de arquivos em lote pode ser evitada.”
