Výzkumníci ze SentinelOne našli vážnou zranitelnost v mnoha cloud služby, včetně oblíbených služeb od AWS. Hrozba byla od té doby opravena.
SentinelLabs je rozšířením bezpečnostní organizace SentinelOne. Organizace hledá a nachází zranitelná místa v běžně používané technologii. Zjištění jsou nejprve sdílena s dodavatelem nebo vývojářem služby nebo produktu. Teprve po opravě SentinelLabs otevřeně komunikuje o incidentu. Důležité opatření, které zabrání zneužití během zranitelnosti.
Začátkem tohoto roku nalezla společnost SentinelLabs zranitelnost v Eltima SDK. Více dodavatelů, včetně AWS, začleňuje Eltima SDK do svých produktů a cloud služby. S Eltima SDK přicházejí do kontaktu miliony globálních uživatelů. Jejich organizace byly v ohrožení celé měsíce.
Metoda
Jeden z nástrojů v Eltima SDK umožňuje zřetězení lokálního USB zařízení ke vzdálenému zařízení. Například virtuální stroj v AWS WorkSpaces, jedné ze služeb, které Eltima SDK uživatelům nabízí. SentinelLabs nalezly zranitelnosti v ovladačích, přes které Eltima SDK přesměrovává data USB. Organizace vytvořila přetečení pro spuštění kódu v jádře operačního systému.
Důsledek
SentinelLabs používaly různé metody pro různá řešení, která byla zjištěna jako zranitelná, včetně Amazon AppStream, NoMachine pro Windows, Přijímá HyWorks pro Windows, FlexiHub a Donglify. Riziko bylo u každého řešení stejné. Kód bylo možné spouštět na jádře operačního systému, na kterém byla použita Eltima SDK. Například k udělení oprávnění.
Accops reagoval na novinky stránkou FAQ pro dotčené uživatele, stejně jako NoMachine. Každý dodavatel, včetně FlexiHub a Donglify, opravoval software automaticky. Protože uživatelé AWS WorkSpaces mají možnost zakázat automatickou údržbu, SentinelLabs doporučuje aktualizovat klienta ručně.