Falha crítica identificada pela CVE-2025-12779 afeta versões do cliente entre 2023.0 e 2024.8 e expõe ambientes corporativos a acessos não autorizados
Uma vulnerabilidade de segurança identificada no cliente Amazon WorkSpaces para Linux permite que usuários mal-intencionados com acesso local ao sistema capturem tokens de autenticação válidos de outras sessões ativas, abrindo caminho para acessos não autorizados a ambientes corporativos remotos. A falha, registrada sob o identificador CVE-2025-12779, afeta versões do cliente entre 2023.0 e 2024.8, amplamente utilizadas por empresas que adotam infraestrutura de desktop como serviço (DaaS).
Segundo informações divulgadas pela Amazon Web Services (AWS), a falha ocorre especificamente em sistemas onde múltiplos usuários compartilham o mesmo host Linux. Nessas condições, um atacante com acesso ao sistema operacional pode extrair o token de sessão de outro usuário que esteja ativamente conectado ao WorkSpaces e reutilizá-lo para abrir o ambiente remoto da vítima sem necessidade de fornecer senha ou passar por qualquer autenticação adicional.
A vulnerabilidade expõe riscos significativos em ambientes como quiosques públicos, espaços de coworking, estações de trabalho compartilhadas ou qualquer cenário corporativo que utilize o cliente WorkSpaces em Linux com múltiplas sessões simultâneas de diferentes usuários no mesmo equipamento.
Uma vez em posse do token de sessão capturado, o invasor pode assumir completamente a sessão remota da vítima, obtendo acesso irrestrito ao desktop virtual comprometido. Isso permite visualizar arquivos confidenciais, acessar sistemas internos da empresa, ler comunicações corporativas e até mesmo realizar movimentação lateral pela rede, dependendo dos privilégios e permissões disponíveis no ambiente virtual comprometido.
A gravidade da falha reside no fato de que o atacante não precisa conhecer credenciais ou quebrar mecanismos de autenticação. O simples acesso físico ou remoto ao host Linux compartilhado, combinado com privilégios locais, é suficiente para executar o ataque e sequestrar sessões legítimas de outros usuários.
Cenários de Maior Risco
Ambientes corporativos que adotam modelos de trabalho híbrido ou remoto e compartilham estações Linux entre diferentes colaboradores enfrentam exposição crítica. Bibliotecas públicas, universidades, centros de treinamento e empresas que utilizam thin clients baseados em Linux também integram o grupo de maior risco.
Organizações que implementaram políticas de hot desking, onde colaboradores utilizam estações de trabalho alternadamente sem atribuição fixa, devem priorizar a atualização imediata do cliente WorkSpaces para eliminar o vetor de ataque.
Resposta da Amazon
A AWS afirma que, até o momento, não há evidências de exploração ativa da vulnerabilidade em ambientes produtivos. Entretanto, considerando a natureza crítica da falha e sua potencial capacidade de comprometer ambientes corporativos inteiros, a empresa já disponibilizou uma atualização de segurança que corrige completamente a vulnerabilidade.
A recomendação oficial da Amazon é que todos os administradores de sistemas e equipes de segurança da informação que utilizam WorkSpaces em ambientes Linux atualizem o cliente imediatamente para as versões corrigidas disponibilizadas pela AWS.
Além da atualização urgente do software, a Amazon orienta que as organizações implementem camadas adicionais de proteção em seus ambientes. Entre as recomendações estão o reforço do isolamento entre contas de usuários em sistemas compartilhados, desabilitação do acesso simultâneo de múltiplos usuários quando tecnicamente possível e aplicação rigorosa de políticas de hardening nos terminais locais.
A implementação de controles mais granulares de permissões no nível do sistema operacional Linux também é fortemente recomendada. Práticas como segregação de sessões, uso de containers ou máquinas virtuais individuais para cada usuário e monitoramento ativo de acessos anômalos podem reduzir significativamente a superfície de ataque.
Impacto no Setor DaaS
A vulnerabilidade reacende o debate sobre segurança em soluções de desktop como serviço, especialmente em ambientes multiusuário. Embora o modelo DaaS ofereça vantagens significativas em termos de flexibilidade, escalabilidade e redução de custos de infraestrutura, incidentes como este evidenciam a importância de arquiteturas de segurança robustas e atualizações constantes.
Empresas que adotam WorkSpaces e soluções similares devem revisar suas políticas de segurança, garantindo que controles de acesso, segmentação de rede e monitoramento de atividades estejam adequadamente implementados para detectar e prevenir tentativas de exploração de vulnerabilidades.
Recomendações para Administradores
Administradores de TI devem priorizar as seguintes ações imediatas:
Atualizar todos os clientes Amazon WorkSpaces para Linux para as versões mais recentes disponibilizadas pela AWS. Revisar e fortalecer políticas de isolamento entre usuários em hosts compartilhados. Implementar monitoramento de sessões e auditoria de acessos aos ambientes WorkSpaces. Avaliar a necessidade de manter múltiplos usuários no mesmo host Linux ou migrar para modelos de acesso mais seguros. Realizar treinamento de conscientização sobre segurança para usuários que acessam WorkSpaces em ambientes compartilhados.
A descoberta e correção rápida desta vulnerabilidade demonstram a importância de programas contínuos de análise de segurança e resposta a incidentes. Organizações que dependem de soluções de desktop remoto devem manter processos rigorosos de gestão de patches e atualizações para minimizar janelas de exposição a ameaças.
Fonte: BoletimSec
