Pesquisadores detalham vulnerabilidade entre locatários do AppSync no Amazon Web Services

A Amazon Web Services (AWS) resolveu uma vulnerabilidade entre inquilinos em sua plataforma que poderia ser armada por um invasor para obter acesso não autorizado a recursos.

O problema está relacionado a um problema de deputado confuso, um tipo de escalonamento de privilégios em que um programa que não tem permissão para executar uma ação pode coagir uma entidade com mais privilégios a executar a ação.

A falha foi relatada pelo Datadog à AWS em 1º de setembro de 2022, após o qual um patch foi enviado em 6 de setembro.

“Este ataque abusa do serviço AppSync para assumir funções [gerenciamento de identidade e acesso] em outras contas da AWS, o que permite que um invasor invada uma organização vítima e acesse recursos nessas contas”, disse Nick Frichette, pesquisador da Datadog, em um relatório publicado na semana passada.

Em uma divulgação coordenada, a Amazon disse que nenhum cliente foi afetado pela vulnerabilidade e que nenhuma ação do cliente é necessária.

Ele o descreveu como um "problema de análise de distinção entre maiúsculas e minúsculas no AWS AppSync, que poderia ser usado para ignorar as validações de uso de função entre contas do serviço e agir como o serviço nas contas dos clientes".

O AWS AppSync oferece aos desenvolvedores GraphQL APIs para recuperar ou modificar dados de várias fontes de dados, bem como sincronizar dados automaticamente entre aplicativos móveis e da web e a nuvem.

O serviço também pode ser usado para integração com outros serviços da AWS por meio de funções específicas projetadas para executar as chamadas de API necessárias com as permissões IAM necessárias.

Embora a AWS tenha proteções para impedir que o AppSync assuma funções arbitrárias validando o nome de recurso da Amazon (ARN), o problema decorre do fato de que a verificação pode ser ignorada trivialmente passando o parâmetro "serviceRoleArn" em letras minúsculas.

Esse comportamento pode ser explorado para fornecer o identificador de uma função em uma conta diferente da AWS.

“Essa vulnerabilidade no AWS AppSync permitiu que os invasores ultrapassassem os limites da conta e executassem chamadas de API da AWS em contas de vítimas por meio de funções IAM que confiavam no serviço AppSync”, disse Frichette.

“Ao usar esse método, os invasores podem violar organizações que usam o AppSync e obter acesso a recursos associados a essas funções”.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Alan Wake 2: Como acariciar o prefeito Setter (troféu / conquista das coisas boas da vida)

Imagem
Os jogadores de Alan Wake 2 que procuram encontrar o ingresso para acariciar um menino muito bom que também é o prefeito, podem encontrar as etapas e locais neste guia. Embora Alan Wake 2 possa ter reduzido o charme e o humor exagerados do primeiro jogo em favor de uma experiência mais intensa, ele ainda consegue escapar em momentos de leviandade. Também dá aos jogadores algum espaço entre as batalhas para encontrar e coletar itens e segredos escondidos. Uma delas envolve rastrear um certo “Prefeito Setter”. Aqui está um guia sobre como e onde encontrar esse prefeito e obter uma conquista e uma recompensa de charme única. Como acariciar o Mayor Setter em Alan Wake 2 (troféu/conquista The Nice Things in Life) Possivelmente, a tarefa secundária opcional mais emocionante em Alan Wake 2 que os jogadores podem realizar é encontrar e conhecer o próprio prefeito de Bright Falls. Embora não esteja imediatamente claro quem é esse prefeito ou por que ele é tão popular, os jogadores que prestam m...
Leia mais

FXAA vs MSAA: o que é melhor para jogos?

Imagem
Cada vez mais jogadores estão conhecendo novas formas de tecnologias de aprimoramento de imagem digital, como MSAA e FXAA. Ambos oferecem visuais aprimorados nos jogos, mas existem algumas diferenças importantes que devem ser consideradas ao decidir qual deles é mais adequado para você. Este artigo explorará as vantagens e desvantagens de ambos, para que você possa tomar uma decisão informada sobre qual deles lhe proporcionará a melhor experiência visual. São dois métodos de anti-aliasing usados ​​para melhorar a aparência das imagens em videogames. O anti-aliasing é uma técnica comum que ajuda a reduzir as bordas irregulares frequentemente vistas ao visualizar objetos 3D em uma tela 2D. Tanto MSAA quanto FXAA oferecem aos jogadores visuais e desempenho aprimorados, mas qual é o melhor para jogos? Vamos descobrir. Mas o que são MSAA e FXAA, na verdade? MSAA significa Multi-Sampling Anti-Aliasing e funciona amostrando vários pixels de uma vez para criar bordas mais suaves. Isso o torna ...
Leia mais

Como executar o Windows 11 no Mac M1/M2/M3 gratuitamente

Imagem
Se você deseja executar o Windows 11 no seu Mac M1, agora você pode fazer isso e, talvez o melhor de tudo, você pode executar o Windows 11 em uma máquina virtual no Mac M1 totalmente de graça. Abordaremos como instalar, configurar e executar o Windows 11 ARM em qualquer Mac Apple Silicon, seja ele M1, M1 Pro, M1 Max, M1 Ultra ou qualquer outro chip M, não importa, funcionará muito bem graças ao aplicativo UTM. Observe que este passo a passo específico é voltado especificamente para Apple Silicon Macs. Os Macs Intel oferecem muitas outras maneiras de executar o Windows 11 em máquinas virtuais, como VirtualBox, VMware, Parallels, etc. Se você achar mais fácil, pode baixar um zip com todos os arquivos necessários parra esse tutorial nesse link . Depois de baixar é só clicar duas vezes que o Mac vai descompactar.  Ou então, você pode baixar os arquivos separados nos sites oficiais: Baixe o app UTM aqui , é um aplicativo virtualizador e emulador gratuito e open source (código aberto). B...
Leia mais