Ausnutzung von USB über Ethernet: SentinelLabs entdeckt Sicherheitslücken in AWS und anderen Cloud-Diensten

Einige der betroffenen Anbieter haben automatische Sicherheitsupdates bereitgestellt, um die teils schwerwiegenden Schwachstellen zu beheben – manche erfordern aber auch manuelle Maßnahmen des Kunden.

Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben eine Reihe schwerwiegender Sicherheitslücken in Treibersoftware entdeckt, die AWS und zahlreiche weitere Cloud-Dienste betreffen. Die Schwachstellen ermöglichen es Angreifern, ihre Zugriffsrechte zu erweitern und so Sicherheitslösungen zu deaktivieren, Systemkomponenten zu überschreiben, das Betriebssystem zu beschädigen oder ungehindert bösartige Aktionen durchzuführen.

Benutzer mit betroffenen Client-Versionen sind anfällig für die Sicherheitslücken, die bei erfolgreicher Ausnutzung verheerende Folgen haben können. Da der anfällige Code sowohl auf der Remote- als auch auf der lokalen Seite vorhanden ist, sind auch externe Desktops von dieser Sicherheitslücke betroffen. Ein Angreifer, der Zugriff auf das Netzwerk eines Unternehmens hat, kann dann z.B. auch Code auf ungepatchten Systemen ausführen und diese Schwachstelle nutzen, um sich lateral durch das Netzwerk zu bewegen und noch mehr Schaden anzurichten.

Übersicht über die Schwachstellen

Cloud-Desktop-Lösungen wie Amazon Workspaces nutzen Bibliotheken von Drittanbietern, darunter Eltima SDK, um „USB-over-Ethernet“-Funktionen bereitzustellen, mit denen Benutzer lokale Geräte wie Webcams anschließen und gemeinsam nutzen können. Diese Cloud-Dienste werden von Millionen von Kunden weltweit genutzt. Schwachstellen in Eltima SDK, abgeleiteten Produkten und proprietären Varianten werden dann unwissentlich von Cloud-Kunden übernommen.

Sowohl der Endnutzer (z. B. Kunden von AWS WorkSpaces) als auch der Cloud-Dienst (AWS WorkSpaces in der AWS Cloud) sind für verschiedene Schwachstellen anfällig. Diese Besonderheit lässt sich auf die gemeinsame Nutzung von Code durch server- und clientseitige Anwendungen zurückführen. SentinelLabs hat diese Schwachstellen für AWS, NoMachine und Accops durch konkrete Tests bestätigt. Es ist weiterhin sehr wahrscheinlich, dass auch andere Cloud-Anbieter, die die gleichen Bibliotheken verwenden, anfällig sind. Zudem wurden von den getesteten Anbietern nicht alle sowohl auf client- als auch auf serverseitige Schwachstellen getestet; folglich könnten auch dort weitere Schwachstellen vorhanden sein.

Disclosure und Gegenmaßnahmen

Die Erkenntnisse von SentinelLabs wurden im zweiten Quartal 2021 proaktiv an die gefährdeten Anbieter gemeldet, und alle Schwachstellen – insgesamt 27 an der Zahl – werden als CVE-Sicherheitslücken mit einer entsprechenden Kennnummer und Schwachstellenbewertung erfasst. Die vollständige Liste der CVEs und der betroffenen Cloud-Dienste finden Sie hier.

Zum jetzigen Zeitpunkt hat SentinelLabs keine Anzeichen für einen Missbrauch der Schwachstellen durch Kriminelle oder Hacker feststellen können. Da einige der Sicherheitslücken zur Behebung manuelle Patches benötigen, wird Nutzern der betroffenen Dienste empfohlen, umgehend ihre aktuelle Softwareversion zu überprüfen und ein Update auszuführen, falls notwendig.

Weitere technische Details zu den Sicherheitslücken sowie Informationen zur Behebung der Probleme finden Sie im vollständigen Bericht von SentinelLabs: https://www.sentinelone.com/labs/usb-over-ethernet-multiple-privilege-escalation-vulnerabilities-in-aws-and-other-major-cloud-services/