BatBadBut résulte d’une mauvaise gestion des arguments lors du lancement de fichiers batch sous Windows. Cette vulnérabilité permet aux attaquants d’exécuter des commandes shell arbitraires, en contournant les mécanismes de sécurité prévus. Le groupe de travail Rust Security Response a publié un avis le 9 avril 2024, alertant la communauté des risques associés à cette faille.
La vulnérabilité affecte toutes les versions de Rust antérieures à 1.77.2. Il a été découvert par RyotaK et signalé au CERT/CC, qui coordonne les réponses aux incidents de cybersécurité. L’impact de cette faille est important car elle touche plusieurs langages de programmation et provient de la façon dont ils utilisent la fonction CreateProcess de Windows. Les langages de programmation manquent souvent de mécanismes de validation robustes pour l’exécution des commandes, ce qui ouvre la porte à une exploitation malveillante.
Cependant, RyotaK tempère. ” L’exploitation de ces comportements est possible lorsque les conditions suivantes sont remplies :
l’application exécute une commande sous Windows
l’application ne précise pas l’extension du fichier de la commande, ou l’extension du fichier est .batou.cmd,
la commande en cours d’exécution contient une entrée contrôlée par l’utilisateur dans le cadre des arguments de la commande,
et le runtime du langage de programmation ne parvient pas à échapper correctement aux arguments de la commande cmd.exe 2 “, il explique.
