大家好，這里是架構(gòu)資源棧！點(diǎn)擊上方關(guān)注，添加“星標(biāo)”，一起學(xué)習(xí)大廠前沿架構(gòu)！

關(guān)注、發(fā)送C1即可獲取JetBrains全家桶激活工具和碼！

image

4 月份，微軟為 Copilot Enterprise 靜悄悄地推送了一項(xiàng)更新：?jiǎn)⒂昧艘粋€(gè)基于 Jupyter Notebook 的 Python 沙箱，可以后臺(tái)執(zhí)行代碼。聽上去像是開發(fā)者的天堂？安全研究員的“探索之旅”隨即展開。

結(jié)果？他們成功“越獄”了這套系統(tǒng)，拿下了容器的 Root 權(quán)限——雖然這看起來沒啥用，但過程驚心動(dòng)魄又忍俊不禁。

??Jupyter 沙箱：不聽話的“孩子”

Copilot 沙箱默認(rèn)使用 Jupyter Notebook 的 %command 語(yǔ)法來執(zhí)行系統(tǒng)命令。雖然并不總是聽話，但當(dāng)它“吃飽喝足”，心情不錯(cuò)時(shí)，會(huì)乖乖地執(zhí)行命令：

image

環(huán)境運(yùn)行在一個(gè) Conda 環(huán)境下，執(zhí)行用戶是 ubuntu，雖然它在 sudo 用戶組中，但系統(tǒng)內(nèi)居然沒裝 sudo 命令（微軟怕不是忘了？）。

??技術(shù)細(xì)節(jié)揭秘

研究員們逐步發(fā)現(xiàn)：

• Python 版本是 3.12，內(nèi)核較新；
• 除了 Loopback，還有一個(gè) Link-Local 網(wǎng)絡(luò)接口；
• 使用了 OverlayFS，掛載路徑來源是 /legion；
• 主要腳本都放在 /app 目錄；
• 可通過 /mnt/data 拷貝或下載文件；
• 甚至支持通過 base64 下載二進(jìn)制文件（雖然有時(shí)“鬧小脾氣”會(huì)故意損壞文件）。

??真正的突破口：腳本注入

一切的關(guān)鍵，在于一個(gè)細(xì)節(jié)疏忽。

研究員們發(fā)現(xiàn)啟動(dòng)腳本 /app/entrypoint.sh 里有這樣一行代碼：

JUPYTER_PID=$(pgrep -f "jupyter notebook --ip=0.0.0.0 --port=8888")

pgrep 沒有使用絕對(duì)路徑，這意味著系統(tǒng)會(huì)從 $PATH 路徑中查找可執(zhí)行文件。而 /app/miniconda/bin 目錄剛好在 $PATH 中，而且對(duì) ubuntu 用戶是可寫的！

于是，他們編寫了一個(gè)偽裝成 pgrep 的 Python 腳本如下：

#!/home/ubuntu/snenv/bin/python
import os
with open('/mnt/data/in','r') as fin:
  with open('/mnt/data/out','a') as fout:
    fout.write(os.popen(fin.read()).read())
print('1')

image

這個(gè)腳本會(huì)不斷讀取 /mnt/data/in 中的命令，執(zhí)行后寫入 /mnt/data/out，就這樣，他們成功讓 Root 用戶執(zhí)行了自己上傳的任意代碼！

??Root 權(quán)限到手之后呢？

得到 Root 權(quán)限后，他們做的第一件事是……四處翻看系統(tǒng)文件。

結(jié)果卻有些掃興：

• /root 目錄里啥都沒有；
• 沒有敏感日志；
• 嘗試容器逃逸的常見方法全部失效；
• 網(wǎng)絡(luò)出口被禁用了，無(wú)法向外通信；
• 系統(tǒng)打了補(bǔ)丁，牢不可破。

但研究員們表示，雖然沒拿到什么敏感數(shù)據(jù)，但這個(gè)“解謎”過程還是非常爽！

??安全問題上報(bào)微軟：被認(rèn)定為“中等嚴(yán)重”

研究員在 2025 年 4 月 18 日向微軟安全響應(yīng)中心（MSRC）上報(bào)了這個(gè)漏洞。微軟于 7 月 25 日確認(rèn)漏洞已修復(fù)，并將其歸類為中等嚴(yán)重等級(jí)（Moderate Severity）。

不過，因?yàn)闆]有達(dá)到“重要”或“嚴(yán)重”級(jí)別，這次他們沒有獲得漏洞賞金，僅獲得了官網(wǎng)致謝：

??MSRC 安全研究者致謝名單（2025）

??順便預(yù)告?zhèn)€更猛的內(nèi)容！

Eye Security 的研究員還將在 Black Hat USA 2025 上分享另一項(xiàng)重磅發(fā)現(xiàn)：

???♂?**“Consent & Compromise：濫用 Entra OAuth 獲取微軟內(nèi)部 21 項(xiàng)服務(wù)訪問權(quán)限”**

??時(shí)間：2025 年 8 月 7 日（周四）13:30
??地點(diǎn)：拉斯維加斯

??小結(jié)：安全細(xì)節(jié)不可忽視

這次“Root Copilot”的過程再次提醒我們：

• 開發(fā)環(huán)境的每一個(gè) $PATH 都可能埋著雷；
• 沙箱不是萬(wàn)能的，也需要嚴(yán)格權(quán)限隔離；
• 微小的疏忽（如未限定命令路徑）也可能被巧妙利用。

最后，別忘了，研究的初衷并不是為了破壞，而是為了讓系統(tǒng)更安全。

??Eye Security 是一家總部位于歐洲的安全公司，專注于威脅監(jiān)測(cè)、應(yīng)急響應(yīng)和網(wǎng)絡(luò)保險(xiǎn)。他們的研究團(tuán)隊(duì)持續(xù)挖掘潛在威脅，為客戶和其供應(yīng)鏈提供全面保護(hù)。

了解更多請(qǐng)關(guān)注他們的 官方網(wǎng)站 或 LinkedIn。

本文由博客一文多發(fā)平臺(tái) OpenWrite 發(fā)布！