SentinelOne-Forscher haben eine schwerwiegende Sicherheitslücke in mehreren gefunden cloud Services, einschließlich beliebter Services von AWS. Die Bedrohung wurde inzwischen gepatcht.
SentinelLabs ist eine Erweiterung der Sicherheitsorganisation SentinelOne. Die Organisation sucht und findet Schwachstellen in häufig verwendeten Technologien. Die Ergebnisse werden zunächst mit dem Anbieter oder Entwickler einer Dienstleistung oder eines Produkts geteilt. Erst nach einem Patch kommuniziert SentinelLabs offen über einen Vorfall. Eine wichtige Vorsichtsmaßnahme, um Missbrauch während der Schwachstelle zu verhindern.
Anfang des Jahres fand SentinelLabs eine Schwachstelle im Eltima SDK. Mehrere Anbieter, einschließlich AWS, integrieren Eltima SDK in ihre Produkte und cloud Dienstleistungen. Millionen von Benutzern weltweit kommen mit Eltima SDK in Kontakt. Ihre Organisationen waren monatelang in Gefahr.
Das Verfahren
Eines der Tools im Eltima SDK ermöglicht es, ein lokales USB-Gerät per Daisy-Chain mit einem Remote-Gerät zu verbinden. Zum Beispiel eine virtuelle Maschine in AWS WorkSpaces, einer der Dienste, die Eltima SDK Benutzern anbietet. SentinelLabs hat Schwachstellen in den Treibern gefunden, über die das Eltima SDK USB-Daten umleitet. Die Organisation hat einen Überlauf erstellt, um Code im Kernel eines Betriebssystems auszuführen.
Die Konsequenz
SentinelLabs verwendete verschiedene Methoden für die verschiedenen Lösungen, die sich als anfällig herausstellten, darunter Amazon AppStream, NoMachine für Windows, Accops HyWorks für Windows, FlexiHub und Donglify. Das Risiko war bei jeder Lösung gleich. Code konnte auf dem Kernel des Betriebssystems ausgeführt werden, auf dem Eltima SDK verwendet wurde. Zum Beispiel um eine Autorisierung zu erteilen.
Accops reagierte auf die Nachricht mit einer FAQ-Seite für besorgte Benutzer, ebenso wie NoMachine. Jeder Anbieter, einschließlich FlexiHub und Donglify, hat die Software automatisch gepatcht. Da Benutzer von AWS WorkSpaces die Möglichkeit haben, die automatische Wartung zu deaktivieren, empfiehlt SentinelLabs, den Client manuell zu aktualisieren.