Amazon Web Services a révélé une faille de sécurité dans son client WorkSpaces pour Linux qui permet aux attaquants locaux d'extraire des jetons d'authentification et d'accéder aux bureaux virtuels d'autres utilisateurs. La vulnérabilité, CVE-2025-12779, affecte les versions du client de 2023.0 à 2024.8 et a un score CVSS de 8.8. AWS recommande des mises à niveau immédiates vers la version 2025.0 ou ultérieure pour atténuer le risque.
Le 5 novembre 2025, AWS a publié le bulletin de sécurité AWS-2025-025, détaillant la CVE-2025-12779, une vulnérabilité de haute gravité dans le client Amazon WorkSpaces pour Linux. Cette faille provient d'une gestion incorrecte des jetons d'authentification dans les versions 2023.0 à 2024.8, exposant potentiellement les jetons WorkSpaces basés sur DCV à d'autres utilisateurs locaux sur la même machine.
Comme décrit dans le bulletin, « La gestion incorrecte du jeton d'authentification dans le client Amazon WorkSpaces pour Linux, versions 2023.0 à 2024.8, peut exposer le jeton d'authentification pour les WorkSpaces basés sur DCV à d'autres utilisateurs locaux sur la même machine cliente. Dans certaines circonstances, un utilisateur non intentionnel peut extraire un jeton d'authentification valide de la machine cliente et accéder à un WorkSpace d'un autre utilisateur. » Cela permet aux attaquants ayant un accès local d'usurper l'identité d'utilisateurs légitimes, contournant les contrôles standards et accédant potentiellement à des données sensibles dans des environnements virtuels.
Le problème pose des risques dans les configurations Linux partagées ou multi-utilisateurs, courantes dans les infrastructures de travail à distance en entreprise. Avec un score CVSS de 8.8, il frôle le statut critique, soulignant les menaces de mouvement latéral dans les systèmes compromis. AWS a confirmé la correction dans la version 2025.0, disponible via la page de téléchargement du client Amazon WorkSpaces, et annoncé la fin de support pour les versions affectées.
Les organisations sont invitées à auditer leurs déploiements, à prioriser les mises à niveau et à examiner les journaux d'accès pour détecter toute activité non autorisée. AWS a notifié proactivement les clients affectés, en insistant sur la gestion des correctifs pour les outils d'accès à distance. Cette vulnérabilité met en lumière les défis persistants dans la sécurisation de la virtualisation de bureau contre les exploits locaux.
