Os pesquisadores do SentinelOne encontraram uma séria vulnerabilidade em vários cloud serviços, incluindo serviços populares da AWS. A ameaça já foi corrigida.
SentinelLabs é uma extensão da organização de segurança SentinelOne. A organização procura e encontra vulnerabilidades na tecnologia comumente usada. As descobertas são compartilhadas primeiro com o fornecedor ou desenvolvedor de um serviço ou produto. Somente após um patch o SentinelLabs se comunica abertamente sobre um incidente. Uma precaução importante para evitar abusos durante a vulnerabilidade.
No início deste ano, o SentinelLabs encontrou uma vulnerabilidade no Eltima SDK. Vários fornecedores, incluindo AWS, incorporam Eltima SDK em seus produtos e cloud Serviços. Milhões de usuários globais entram em contato com o Eltima SDK. Suas organizações estiveram em risco por meses.
O método
Uma das ferramentas do Eltima SDK possibilita a conexão em cadeia de um dispositivo USB local a um dispositivo remoto. Por exemplo, uma máquina virtual no AWS WorkSpaces, um dos serviços que o Eltima SDK oferece aos usuários. O SentinelLabs encontrou vulnerabilidades nos drivers através dos quais o Eltima SDK redireciona os dados USB. A organização criou um estouro para executar código no kernel de um sistema operacional.
A consequência
O SentinelLabs usou métodos diferentes para as várias soluções consideradas vulneráveis, incluindo Amazon AppStream, NoMachine for Windows, Accops HyWorks para Windows, FlexiHub e Donglify. O risco era o mesmo para cada solução. O código pode ser executado no kernel do sistema operacional no qual o Eltima SDK foi usado. Por exemplo, para conceder autorização.
A Accops respondeu à notícia com uma página de perguntas frequentes para usuários preocupados, assim como a NoMachine. Todos os fornecedores, incluindo FlexiHub e Donglify, corrigiram o software automaticamente. Como os usuários do AWS WorkSpaces têm a opção de desabilitar a manutenção automática, o SentinelLabs recomenda que eles atualizem o cliente manualmente.