- PVSM.RU - https://www.pvsm.ru -

Миллионы человек могут быть атакованы через уязвимость в платформе для конференций Cisco WebEx

Миллионы человек могут быть атакованы через уязвимость в платформе для конференций Cisco WebEx - 1

Сервисы для проведения вебинаров и онлайн-совещаний Cisco WebEx занимают более половины мирового рынка веб-конференций (53%), их используют [1] свыше 20 млн человек. На этой неделе специалисты SkullSecurity и Counter Hack обнаружили [2] уязвимость в десктопной версии WebEx для Windows, позволяющую выполнять произвольные команды с системными привилегиями.

В чем проблема

Уязвимость выявлена в службе обновления приложения Cisco Webex Meetings Desktop для Windows и связана с недостаточной проверкой параметров пользователя.

Она может позволить аутентифицированному локальному злоумышленнику выполнять произвольные команды в качестве привилегированного пользователя SYSTEM. Как утверждают эксперты, обнаружившие ошибку, уязвимость также можно использовать удаленно.
Исследователи рассказывают, что сервис WebExService с аргументом software-update запустит любую команду пользователя. Интересно, что для запуска команд он использует токен от системного процесса winlogon.exe, то есть команды будут запускаться с максимальными привилегиями в системе.

C:Usersron>sc \10.10.10.10  start webexservice a software-update 1 wmic process call create "cmd.exe"
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.
C:Windowssystem32>whoami
nt authoritysystem

Для удаленной эксплуатации злоумышленнику понадобится лишь штатное средство Windows для управления службами sc.exe.

Как защититься

Чтобы защититься от этой уязвимости, Cisco WebEx выкатили патч с добавлением проверки. Теперь сервис проверяет, если исполняемый файл из параметров подписан WebEx. Если правильная подпись у файла отсутствует, то сервис прекращает работу.

Пользователям необходимо обновить приложение Cisco Webex Meetings Desktop до версий 33.5.6 и 33.6.0. Для этого необходимо запустить приложение Cisco Webex Meetings и щелкнуть шестеренку в правом верхнем углу окна приложения, а затем выбрать элемент «Проверить наличие обновлений» в раскрывающемся списке.

Администраторы могут установить обновление сразу у всех своих пользователей, используя следующие рекомендации от Cisco по массовому развертыванию приложения [3].

Кроме того, эксперты Positive Technologies создали сигнатуру IDS Suricata для выявления попыток эксплуатации уязвимости CVE-2018-15442 [4] и их предотвращения. Пользователям PT Network Attack Discovery [5] данное правило уже доступно через механизм обновления.

Автор: ptsecurity

Источник [11]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/297137

Ссылки в тексте:

[1] используют: http://softline.ru/uploads/Presentations/cisco_webex_confrencing.pdf

[2] обнаружили: https://blog.skullsecurity.org/2018/technical-rundown-of-webexec

[3] рекомендации от Cisco по массовому развертыванию приложения: https://collaborationhelp.cisco.com/article/en-us/nulpixd

[4] CVE-2018-15442: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15442

[5] PT Network Attack Discovery: https://www.ptsecurity.com/ru-ru/products/network-attack-discovery/

[6] #RCE: https://twitter.com/hashtag/RCE?src=hash&ref_src=twsrc%5Etfw

[7] #WebExec: https://twitter.com/hashtag/WebExec?src=hash&ref_src=twsrc%5Etfw

[8] #Suricata: https://twitter.com/hashtag/Suricata?src=hash&ref_src=twsrc%5Etfw

[9] https://t.co/xTzuRcvEtS: https://t.co/xTzuRcvEtS

[10] October 25, 2018: https://twitter.com/AttackDetection/status/1055578088812232705?ref_src=twsrc%5Etfw

[11] Источник: https://habr.com/post/427891/?utm_campaign=427891