Onderzoekers vinden kwetsbaarheden in AWS-services

SentinelOne-onderzoekers hebben een ernstige kwetsbaarheid gevonden in meerdere cloudservices, inclusief populaire services van AWS. De dreiging is inmiddels verholpen.

SentinelLabs is een verlengstuk van beveiligingsorganisatie SentinelOne. De organisatie zoekt en vindt kwetsbaarheden in veelgebruikte technologie. Bevindingen worden eerst gedeeld met de leverancier of ontwikkelaar van een dienst of product. Pas na een patch communiceert SentinelLabs openlijk over een incident. Een belangrijke voorzorgsmaatregel om misbruik tijdens de kwetsbaarheid te voorkomen.

Eerder dit jaar, SentinelLabs heeft een kwetsbaarheid gevonden in Eltima SDK. Meerdere leveranciers, inclusief AWS, integreren Eltima SDK in hun producten en clouddiensten. Miljoenen gebruikers wereldwijd komen in contact met Eltima SDK. Hun organisaties liepen maandenlang gevaar.

De methode

Een van de tools in Eltima SDK maakt het mogelijk om een ​​lokaal USB-apparaat door te lussen naar een extern apparaat. Bijvoorbeeld, een virtuele machine in AWS WorkSpaces, een van de diensten die Eltima SDK aan gebruikers aanbiedt. SentinelLabs heeft kwetsbaarheden gevonden in de stuurprogramma's waarmee Eltima SDK USB-gegevens omleidt. De organisatie creëerde een overloop om code in de kernel van een besturingssysteem uit te voeren.

Het gevolg

SentinelLabs gebruikte verschillende methoden voor de verschillende oplossingen die kwetsbaar bleken te zijn, inclusief Amazon AppStream, NoMachine voor Windows, Accops HyWorks voor Windows, FlexiHub en Donglify. Het risico was hetzelfde voor elke oplossing. Code kan worden uitgevoerd op de kernel van het besturingssysteem waarop Eltima SDK werd gebruikt. Bijvoorbeeld, om toestemming te verlenen.

Accops reageerde op het nieuws met een pagina met veelgestelde vragen voor bezorgde gebruikers, net als NoMachine. Elke leverancier, inclusief FlexiHub en Donglify, de software automatisch gepatcht. Aangezien AWS WorkSpaces-gebruikers de mogelijkheid hebben om automatisch onderhoud uit te schakelen, SentinelLabs raadt aan om de client handmatig bij te werken.