BatBadBut risulta da una gestione errata degli argomenti quando si avviano file batch in Windows. Questa vulnerabilità consente agli aggressori di eseguire comandi shell arbitrari, aggirando i meccanismi di sicurezza previsti. Il Rust Security Response Working Group ha pubblicato un avviso il 9 aprile 2024, avvisando la comunità dei rischi associati a questa falla.
La vulnerabilità colpisce tutte le versioni di Rust precedenti alla 1.77.2. È stato scoperto da RyotaK e segnalato al CERT/CC, che coordina le risposte agli incidenti di sicurezza informatica. L’impatto di questo difetto è significativo perché colpisce diversi linguaggi di programmazione e deriva dal modo in cui utilizzano la funzione CreateProcess di Windows. I linguaggi di programmazione spesso mancano di robusti meccanismi di convalida per l’esecuzione dei comandi, il che apre la porta a sfruttamenti dannosi.
Tuttavia, RyotaK si sta temprando. “ Lo sfruttamento di questi comportamenti è possibile quando sono soddisfatte le seguenti condizioni:
l’applicazione esegue un comando su Windows
l’applicazione non specifica l’estensione del file del comando oppure l’estensione del file è .batou.cmd,
il comando in esecuzione contiene input controllato dall’utente come parte degli argomenti del comando,
e il runtime del linguaggio di programmazione non riesce a sfuggire correttamente agli argomenti del comando cmd.exe 2 “, lui spiega.
