Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar

Sicherheit (Pexels, allgemeine Nutzung)[English]Heute steht das zehnte Türchen im Sicherheits-Adventskalender an. Sicherheitsforscher von SentinelLabs sind auf Schwachstellen in USB-over-Ethernet-Software gestoßen, über die Cloud-Dienste wie Amazon Web Services (AWS) oder andere Cloud-Dienste angreifbar sind. Einige der betroffenen Anbieter haben automatische Sicherheitsupdates bereitgestellt, um die teils schwerwiegenden Schwachstellen zu beheben – manche erfordern aber auch manuelle Maßnahmen des Kunden.


Anzeige

Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben eine Reihe schwerwiegender Sicherheitslücken in Treibersoftware entdeckt, die AWS und zahlreiche weitere Cloud-Dienste betreffen. Die Schwachstellen ermöglichen es Angreifern, ihre Zugriffsrechte zu erweitern und so Sicherheitslösungen zu deaktivieren, Systemkomponenten zu überschreiben, das Betriebssystem zu beschädigen oder ungehindert bösartige Aktionen durchzuführen.

Benutzer mit betroffenen Client-Versionen sind anfällig für die Sicherheitslücken, die bei erfolgreicher Ausnutzung verheerende Folgen haben können. Da der anfällige Code sowohl auf der Remote- als auch auf der lokalen Seite vorhanden ist, sind auch externe Desktops von dieser Sicherheitslücke betroffen. Ein Angreifer, der Zugriff auf das Netzwerk eines Unternehmens hat, kann dann z.B. auch Code auf ungepatchten Systemen ausführen und diese Schwachstelle nutzen, um sich lateral durch das Netzwerk zu bewegen und noch mehr Schaden anzurichten.

Übersicht über die Schwachstellen

Cloud-Desktop-Lösungen wie Amazon Workspaces nutzen Bibliotheken von Drittanbietern, darunter Eltima SDK, um „USB-over-Ethernet"-Funktionen bereitzustellen, mit denen Benutzer lokale Geräte wie Webcams anschließen und gemeinsam nutzen können. Diese Cloud-Dienste werden von Millionen von Kunden weltweit genutzt. Schwachstellen in Eltima SDK, abgeleiteten Produkten und proprietären Varianten werden dann unwissentlich von Cloud-Kunden übernommen.

Sowohl der Endnutzer (z. B. Kunden von AWS WorkSpaces) als auch der Cloud-Dienst (AWS WorkSpaces in der AWS Cloud) sind für verschiedene Schwachstellen anfällig. Diese Besonderheit lässt sich auf die gemeinsame Nutzung von Code durch server- und clientseitige Anwendungen zurückführen. SentinelLabs hat diese Schwachstellen für AWS, NoMachine und Accops durch konkrete Tests bestätigt. Es ist weiterhin sehr wahrscheinlich, dass auch andere Cloud-Anbieter, die die gleichen Bibliotheken verwenden, anfällig sind. Zudem wurden von den getesteten Anbietern nicht alle sowohl auf client- als auch auf serverseitige Schwachstellen getestet; folglich könnten auch dort weitere Schwachstellen vorhanden sein.

Disclosure und Gegenmaßnahmen

Die Erkenntnisse von SentinelLabs wurden im zweiten Quartal 2021 proaktiv an die gefährdeten Anbieter gemeldet, und alle Schwachstellen – insgesamt 27 an der Zahl – werden als CVE-Sicherheitslücken mit einer entsprechenden Kennnummer und Schwachstellenbewertung erfasst. Die vollständige Liste der CVEs und der betroffenen Cloud-Dienste finden Sie hier.

Zum jetzigen Zeitpunkt hat SentinelLabs keine Anzeichen für einen Missbrauch der Schwachstellen durch Kriminelle oder Hacker feststellen können. Da einige der Sicherheitslücken zur Behebung manuelle Patches benötigen, wird Nutzern der betroffenen Dienste empfohlen, umgehend ihre aktuelle Softwareversion zu überprüfen und ein Update auszuführen, falls notwendig.

Weitere technische Details zu den Sicherheitslücken sowie Informationen zur Behebung der Probleme finden Sie im vollständigen Bericht von SentinelLabs.

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit Cloud, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.