Миллионы человек могут быть атакованы через уязвимость в платформе для конференций Cisco WebEx

Миллионы человек могут быть атакованы через уязвимость в платформе для конференций Cisco WebEx

Сервисы для проведения вебинаров и онлайн-совещаний Cisco WebEx занимают более половины мирового рынка веб-конференций (53%), их используют свыше 20 млн человек. На этой неделе специалисты SkullSecurity и Counter Hack обнаружили уязвимость в десктопной версии WebEx для Windows, позволяющую выполнять произвольные команды с системными привилегиями.

В чем проблема


Уязвимость выявлена в службе обновления приложения Cisco Webex Meetings Desktop для Windows и связана с недостаточной проверкой параметров пользователя. 

Она может позволить аутентифицированному локальному злоумышленнику выполнять произвольные команды в качестве привилегированного пользователя SYSTEM. Как утверждают эксперты, обнаружившие ошибку, уязвимость также можно использовать удаленно. 
Исследователи рассказывают, что сервис WebExService с аргументом software-update запустит любую команду пользователя. Интересно, что для запуска команд он использует токен от системного процесса winlogon.exe, то есть команды будут запускаться с максимальными привилегиями в системе.

C:\Users\ron>sc \\10.10.10.10  start webexservice a software-update 1 wmic process call create "cmd.exe"
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.
C:\Windows\system32>whoami
nt authority\system

Для удаленной эксплуатации злоумышленнику понадобится лишь штатное средство Windows для управления службами sc.exe. 

Как защититься


Чтобы защититься от этой уязвимости, Cisco WebEx выкатили патч с добавлением проверки. Теперь сервис проверяет, если исполняемый файл из параметров подписан WebEx. Если правильная подпись у файла отсутствует, то сервис прекращает работу.

Пользователям необходимо обновить приложение Cisco Webex Meetings Desktop до версий 33.5.6 и 33.6.0. Для этого необходимо запустить приложение Cisco Webex Meetings и щелкнуть шестеренку в правом верхнем углу окна приложения, а затем выбрать элемент «Проверить наличие обновлений» в раскрывающемся списке. 

Администраторы могут установить обновление сразу у всех своих пользователей, используя следующие рекомендации от Cisco по массовому развертыванию приложения

Кроме того, эксперты Positive Technologies создали сигнатуру IDS Suricata для выявления попыток эксплуатации уязвимости CVE-2018-15442 и их предотвращения. Пользователям PT Network Attack Discovery данное правило уже доступно через механизм обновления.
Связанные товары: MaxPatrol 8 / MaxPatrol SIEM / XSpider
01.11.2018

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
Министерство
НацБанк
сбер
 Monamie
ЦеснаГарант