Уязвимость в VPN-клиенте AWS позволяет повысить привилегии до SYSTEM

Татьяна Никитина 13 Апреля 2022 - 19:37

...

Уязвимость в VPN-клиенте AWS позволяет повысить привилегии до SYSTEM

Исследователи из Rhino Security Labs выявили две уязвимости в AWS VPN Client. Одна из них грозит локальным повышением привилегий или DoS-атакой (отказом сервиса), другая — утечкой NTLM-хеша пользователя. Патчи уже доступны в виде обновления 3.0.0.

Управляемое решение AWS VPN Client позволяет обезопасить удаленный доступ к корпоративным ресурсам. В рамках этого сервиса сотрудники или клиенты компании могут подключаться к ее сети (AWS или локальной) со своего компьютера или мобильного устройства, используя файл конфигурации VPN — его распределяют между всеми, кому необходим такой доступ.

Десктопное приложение AWS VPN Client, построенное на базе OpenVPN-клиента, работает как Windows-служба уровня SYSTEM. Ею может воспользоваться даже непривилегированный юзер — через импорт конфигурационного файла OpenVPN.

Как оказалось, при валидации таких файлов возникает состояние гонки, которое можно использовать для внедрения небезопасных директив OpenVPN. Чтобы воспользоваться этой уязвимостью (CVE-2022-25166, запись произвольных файлов с привилегиями SYSTEM), злоумышленник должен правильно рассчитать время инъекции — после успешной проверки, но до обработки файла конфигурации. В ходе тестирования исследователям удалось через эксплойт внести в систему новый файл журнала событий.

Уязвимость раскрытия информации (CVE-2022-25165) тоже связана с валидацией файлов настройки OpenVPN. На одном из ее этапов клиентское приложение AWS производит проверку пути к файлу, при этом выполняется операция FileOpen (fopen). Если в импортируемый файл вставить UNC-путь, клиент сольет хеш Net-NTLMv2 пользователя на внешний сервер.

Наличие уязвимостей подтверждено для AWS VPN Client версии 2.0.0. Патчи включены в состав сборки 3.0.0. Свои PoC-коды Rhino уже опубликовала на GitHub.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 12:41

Соответствие законодательству РФ Общее

В России могут обязать предустанавливать отечественный ИИ на смартфоны

В России рассматривают возможность обязать производителей предустанавливать отечественные ИИ-сервисы на смартфоны и другую электронику. Эту норму могут включить в готовящийся закон о регулировании искусственного интеллекта, сообщают «Известия» со ссылкой на материалы правительства.

По данным издания, Минцифры должно представить документ на согласование в правительство к концу февраля. Детали инициативы пока прорабатываются, но идея в целом продолжает логику уже действующего закона о предустановке российского ПО, который применяется с 2021 года.

В аппарате вице-премьера Дмитрия Григоренко подчеркнули, что предустановка отечественных сервисов — один из способов укрепления технологической независимости. По их словам, у России уже есть собственные маркетплейсы, браузеры, антивирусы и сервисы госуслуг, а теперь — и большие языковые модели. Пользователи должны иметь возможность пользоваться такими решениями по умолчанию.

Сейчас ИИ в смартфонах постепенно становится стандартом. По оценке Mobile Research Group, в 2025 году он был предустановлен примерно на 7% продаваемых в России устройств, а к концу 2026-го доля может вырасти до 10%. Наиболее активно ИИ-функции развивают Samsung и ряд китайских производителей.

Участники рынка считают, что технически внедрить такую норму возможно — опыт обязательной предустановки российского софта уже есть. Однако эксперты предупреждают: отечественным разработчикам придётся конкурировать с зарубежными ИИ-продуктами, которые уже встроены в устройства и активно развиваются.

По словам специалистов, успех будет зависеть от качества решений. Если российские ИИ-сервисы предложат удобные голосовые ассистенты, продвинутую обработку фото и видео, работу офлайн или глубокую интеграцию с популярными сервисами, они смогут завоевать аудиторию. В противном случае пользователи просто удалят ненужные приложения — как это часто происходит и сейчас.

Некоторые эксперты отмечают, что россияне уже активно пользуются ИИ на смартфонах, просто не всегда это осознают — например, общаясь с чат-ботами банков или госструктур.

Будет ли предустановка обязательной и в каком именно виде — станет ясно после публикации законопроекта. Пока речь идёт о проработке механизма и сборе предложений.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »