Les chercheurs de SentinelOne ont découvert une grave vulnérabilité dans plusieurs cloud services, y compris les services populaires d'AWS. La menace a depuis été corrigée.
SentinelLabs est une extension de l'organisation de sécurité SentinelOne. L'organisation recherche et trouve les vulnérabilités des technologies couramment utilisées. Les résultats sont d'abord partagés avec le fournisseur ou le développeur d'un service ou d'un produit. Ce n'est qu'après un correctif que SentinelLabs communique ouvertement sur un incident. Une précaution importante pour éviter les abus pendant la vulnérabilité.
Plus tôt cette année, SentinelLabs a découvert une vulnérabilité dans Eltima SDK. Plusieurs fournisseurs, dont AWS, intègrent le SDK Eltima dans leurs produits et cloud prestations de service. Des millions d'utilisateurs mondiaux entrent en contact avec Eltima SDK. Leurs organisations ont été menacées pendant des mois.
Procédé
L'un des outils d'Eltima SDK permet de connecter en guirlande un périphérique USB local à un périphérique distant. Par exemple, une machine virtuelle dans AWS WorkSpaces, l'un des services qu'Eltima SDK offre aux utilisateurs. SentinelLabs a trouvé des vulnérabilités dans les pilotes par lesquels Eltima SDK redirige les données USB. L'organisation a créé un débordement pour exécuter du code dans le noyau d'un système d'exploitation.
La conséquence
SentinelLabs a utilisé différentes méthodes pour les différentes solutions jugées vulnérables, notamment Amazon AppStream, NoMachine pour Windows, Accepte HyWorks pour Windows, FlexiHub et Donglify. Le risque était le même pour chaque solution. Le code peut être exécuté sur le noyau du système d'exploitation sur lequel Eltima SDK a été utilisé. Par exemple, pour accorder une autorisation.
Accops a répondu à l'actualité avec une page FAQ pour les utilisateurs concernés, tout comme NoMachine. Chaque fournisseur, y compris FlexiHub et Donglify, a automatiquement corrigé le logiciel. Étant donné que les utilisateurs d'AWS WorkSpaces ont la possibilité de désactiver la maintenance automatique, SentinelLabs leur recommande de mettre à jour le client manuellement.