Het draaien van elke code in Windows Server Containers moet als gevaarlijk worden beschouwd

Unit 42, het threat intelligence team van Palo Alto Networks, heeft ontdekt dat het draaien van elke code in Windows Server Containers als even gevaarlijk moet worden beschouwd als het draaien van admin op de host. Deze containers zijn niet ontworpen voor sandboxing en er is ontdekt dat het gemakkelijk is om eraan te ontsnappen. Microsoft heeft samengewerkt met Unit 42 om de beveiligingsbeperkingen van deze containers volledig te begrijpen.

Er zijn twee oplossingen voor het uitvoeren van op Windows gebaseerde containers. De eerste oplossing draait elke container in een virtuele machine (VM) op basis van HyperV-technologie. De tweede optie, Windows Server Containers, is afhankelijk van Windows-kernelfuncties, zoals Silo-objecten, om containers in te stellen. De laatste oplossing lijkt op de traditionele Linux-implementatie voor containers.

Gebruikers wordt aangeraden de richtlijnen van Microsoft te volgen en geen Windows Server Containers uit te voeren en Hyper-V containers strikt te gebruiken voor alles wat afhankelijk is van containerisatie als veiligheidsgrens. Elk proces dat in Windows Server Containers wordt uitgevoerd, moet worden verondersteld dezelfde rechten te hebben als de admin op de host.

In het volledige (Engelstalige) artikel wordt het gevaar van het gebruik van deze containers uitgelegd en wordt er een complete techniek weergegeven om de privileges te escaleren en te ontsnappen aan de containers van Windows.

Door: Daniel Prizmant, Senior Security Researcher, Palo Alto Networks