Das Shell-Werkzeug von MS-Agent soll Agenten in die Lage versetzen, Betriebssystembefehle auf dem Host auszuführen. Genau hier setzt CVE-2026-2256 an: Weil die Eingaben nicht korrekt bereinigt werden, interpretiert das Werkzeug die gesamte Befehlszeichenkette eines Angreifers als ausführbare Logik und umgeht so die eingebauten Sicherheitsprüfungen.

Nach Darstellung des Sicherheitsforschers Itamar Yochpaz nutzt die vorhandene Prüffunktion eine Regex-basierte Sperrliste, um gefährliche Befehle herauszufiltern – ein bekanntermaßen unsicheres Vorgehen. Trotz sechs Validierungsebenen vor der Befehlsausführung erlaubt die Funktion es Angreifern, beliebigen Code über vertrauenswürdige Interpreter auszuführen, Daten über zugelassene Netzwerkdienste abzuziehen und die Tokenisierung über die Parsing-Semantik der Shell zu umgehen.

“Ein Angreifer kann diesen Fehler ausnutzen, indem er präparierte Inhalte in Datenquellen einschleust, die der Agent verarbeitet – etwa Prompts, Dokumente, Protokolle oder Recherche-Eingaben –, ohne dass direkter Shell-Zugang oder ausdrücklicher Missbrauch durch den Betreiber nötig wäre”, erläutert Yochpaz. Die eingeschleusten Inhalte bringen den Agenten dazu, das Shell-Werkzeug auszuwählen und eine Befehlszeichenkette zu bilden, die den vom Angreifer beeinflussten Text enthält.

Die Art, wie die Shell den Befehl zur Laufzeit interpretiert, führt dazu, dass die Sperrlisten-Prüfungen umgangen werden und die vom Angreifer beeinflusste Logik im Laufzeitkontext des Agenten ausgeführt wird. “Im Ergebnis lassen sich beliebige Befehle mit den Rechten des MS-Agent-Prozesses auf dem Host-System ausführen, als Teil des normalen Ausführungsablaufs des Agenten, was potenziell zur vollständigen Übernahme des Hosts führt”, so Yochpaz.

Bei erfolgreicher Ausnutzung kann ein Angreifer Geheimnisse wie API-Schlüssel, Tokens und Konfigurationsdateien auslesen, Schadcode auf dem Host ablegen, den Zustand des Arbeitsbereichs verändern, sich dauerhaft einnisten, zu internen Diensten und benachbarten Systemen weiterspringen sowie Eingaben in Build-Ausgaben, Berichte oder nachgelagert verarbeitete Dateien einschleusen.

Die Schwachstelle wurde in MS-Agent Version 1.5.2 entdeckt. Laut einem Hinweis des CERT/CC hat der Hersteller im Rahmen der Abstimmung nicht reagiert. Das CERT/CC empfiehlt, MS-Agent nur in Umgebungen einzusetzen, in denen verarbeitete Inhalte vertrauenswürdig, validiert oder bereinigt sind. Agenten mit Shell-Ausführungsrechten sollten in einer Sandbox laufen oder mit minimalen Rechten betrieben werden. Als weitere Maßnahmen nennt der Hinweis den Ersatz der sperrlistenbasierten Filterung durch strikte Erlaubnislisten sowie stärkere Isolationsgrenzen für die Werkzeugausführung.