牛を飼わない：Windows上のコンテナおよびその他のコンテナエスケープ調査 from darkreading.com

コンテナ脱出の夏になりつつある中で、来月ブラックハットUSAで予定されている2つの講演では、攻撃者がコンテナの障壁を簡単に打ち破ることができる、オペレーティングシステムとコンテナプラットフォームのアーキテクチャ上の弱点の種類を探ります。
ある講演「サイロを脱出したCOW（ウィンドウ上のコンテナー）」では、Windowsコンテナーを実際のホスト設定から分離する方法で、固有のセキュリティアーキテクチャ設計の問題を調査します。
「「プロセス分離」として分離されたWindowsコンテナは十分に分離されておらず、内部からホストに影響を与える可能性があります」とSegal氏は説明します。
彼はBlackHatプレゼンテーションの技術的な詳細を保存していますが、彼のデモンストレーションでは、攻撃者が他のコンテナと通信してホストに大混乱をもたらす可能性のある低い特権で悪意のあるコンテナを作成する方法を示しています。
Segalが示すようなコンテナエスケープの調査は、セキュリティ研究の新しい分野ではありませんが、最近かなり熱くなっている分野です。
そのデモンストレーションは、攻撃者がこのcr8escapeバグを使用して、コンテナをエスケープし、ホストでrootアクセスを取得する方法を示しました。