Cloudanbieter: Gefahr durch fehlerhafte USB-Treiber

Forscher von SentinelLabs haben eine Reihe schwerwiegender Sicherheitslücken in Treibersoftware entdeckt, die AWS und zahlreiche weitere Clouddienste betreffen. Die Schwachstellen ermöglichen es Angreifern, ihre Zugriffsrechte zu erweitern und so Sicherheitssysteme zu deaktivieren, Systemkomponenten zu überschreiben, das Betriebssystem zu beschädigen oder ungehindert bösartige Aktionen durchzuführen.

Anfällige USB-Treiber haben verschiedene Cloudanbieter gefährdet.

Benutzer mit betroffenen Clientversionen sind anfällig für die Sicherheitslücken, die bei erfolgreicher Ausnutzung verheerende Folgen haben können. Da der anfällige Code sowohl auf der Remote- als auch auf der lokalen Seite vorhanden ist, sind auch externe Desktops von dieser Sicherheitslücke betroffen. Ein Angreifer, der Zugriff auf das Netzwerk eines Unternehmens hat, kann dann etwa auch Code auf ungepatchten Systemen ausführen und diese Schwachstelle nutzen, um sich lateral durch das Netzwerk zu bewegen und noch mehr Schaden anzurichten.



Übersicht über die Schwachstellen

Clouddesktop-Umgebungen wie Amazon Workspaces nutzen Bibliotheken von Drittanbietern, darunter Eltima SDK, um "USB-over-Ethernet"-Funktionen bereitzustellen, mit denen Benutzer lokale Geräte wie Webcams anschließen und gemeinsam nutzen können. Diese Clouddienste werden von Millionen von Kunden weltweit genutzt. Schwachstellen in Eltima SDK, abgeleiteten Produkten und proprietären Varianten werden dann unwissentlich von Cloud-Kunden übernommen.



Sowohl der Endnutzer (etwa Kunden von AWS WorkSpaces) als auch der Clouddienst (AWS WorkSpaces in der AWS Cloud) sind für verschiedene Schwachstellen anfällig. Diese Besonderheit lässt sich auf die gemeinsame Nutzung von Code durch server- und clientseitige Anwendungen zurückführen. SentinelLabs [1] hat diese Schwachstellen für AWS, NoMachine und Accops durch konkrete Tests bestätigt. Es ist weiterhin sehr wahrscheinlich, dass auch andere Cloudanbieter, die die gleichen Bibliotheken verwenden, anfällig sind. Zudem wurden von den getesteten Anbietern nicht alle sowohl auf client- als auch auf serverseitige Schwachstellen getestet; folglich könnten auch dort weitere Schwachstellen vorhanden sein.



Disclosure und Gegenmaßnahmen

Die Erkenntnisse von SentinelLabs wurden im zweiten Quartal 2021 an die gefährdeten Anbieter gemeldet, und alle Schwachstellen – insgesamt 27 an der Zahl – werden als CVE-Sicherheitslücken mit einer entsprechenden Kennnummer und Schwachstellenbewertung erfasst [2].



Zum jetzigen Zeitpunkt hat SentinelLabs keine Anzeichen für einen Missbrauch der Schwachstellen durch Kriminelle oder Hacker feststellen können. Da einige der Sicherheitslücken zur Behebung manuelle Patches benötigen, wird Nutzern der betroffenen Dienste empfohlen, umgehend ihre aktuelle Softwareversion zu überprüfen und ein Update auszuführen, falls notwendig.