Fecha de la publicación: 11/06/2024 10:30 h PDT
AWS tiene conocimiento de un problema con el servicio VM Import Export (VMIE) de Amazon Elastic Compute Cloud (Amazon EC2). El 12 de abril de 2024, solucionamos este problema y podemos confirmar que las nuevas importaciones del sistema operativo Windows no se ven afectadas.
Al usar el servicio VMIE de EC2 para importar una máquina virtual con el sistema operativo Windows, los clientes pueden usar, de manera opcional, su propio archivo de respuesta de Sysprep. Antes del 12 de abril de 2024, el servicio VMIE de EC2 tenía un problema por el cual, si un cliente importaba una máquina virtual con el sistema operativo Windows para usarla como AMI o instancia, se creaba una copia de seguridad idéntica del archivo de respuesta sin eliminar los datos confidenciales si se incluían en el archivo. Solo pueden acceder a este archivo de copia de seguridad los usuarios de Windows en la instancia que tenían permiso para acceder al archivo de respuesta proporcionado por el cliente.
Para los clientes que usaron el servicio VMIE de EC2 de esta manera, recomendamos comprobar si hay un nombre de archivo que termine en .vmimport en las siguientes ubicaciones, que están asociadas a Sysprep:
- C:\
- C:\Windows\Panther\
- C:\Windows\Panther\Unattend\
- C:\Windows\system32\
- C:\Windows\system32\sysprep\Panther\Unattend\
Una vez que identifique el archivo .vmimport, restrinja el acceso a las cuentas de usuario necesarias o elimine por completo el archivo de copia de seguridad de las instancias de EC2 importadas o de las instancias lanzadas desde una AMI afectada. La realización de cualquiera de estas acciones no afectará a la funcionalidad de la instancia de EC2. Dado que las nuevas instancias de EC2 lanzadas con una AMI afectada sufrirán este problema, recomendamos a los clientes que eliminen la AMI afectada y creen una nueva mediante el servicio VM Import Export (VMIE) de EC2 para volver a importar la máquina virtual, o que usen la API o la consola de EC2 para crear una nueva AMI a partir de la instancia de EC2 a la que se aplicó la solución.
No se requiere ninguna acción por parte de los usuarios que tenían limitado el acceso al archivo de respuesta de Sysprep antes de usar el servicio VMIE de EC2 para importar el sistema operativo Windows o que usaron el servicio de VMIE de EC2 después del 12 de abril de 2024 para importar el sistema operativo Windows, con o sin el archivo de respuesta de Sysprep, en cualquier región de AWS.
Nos gustaría dar las gracias a Immersive Labs por revelar este problema a AWS de forma responsable.
Puede plantearnos preguntas o inquietudes relacionadas con la seguridad en aws-security@amazon.com.