Миллионы человек могут быть атакованы через уязвимость в платформе для конференций Cisco WebEx

Миллионы человек могут быть атакованы через уязвимость в платформе для конференций Cisco WebEx


Сервисы для проведения вебинаров и онлайн-совещаний Cisco WebEx занимают более половины мирового рынка веб-конференций (53%), их используют свыше 20 млн человек. На этой неделе специалисты SkullSecurity и Counter Hack обнаружили уязвимость в десктопной версии WebEx для Windows, позволяющую выполнять произвольные команды с системными привилегиями.

В чем проблема


Уязвимость выявлена в службе обновления приложения Cisco Webex Meetings Desktop для Windows и связана с недостаточной проверкой параметров пользователя.

Она может позволить аутентифицированному локальному злоумышленнику выполнять произвольные команды в качестве привилегированного пользователя SYSTEM. Как утверждают эксперты, обнаружившие ошибку, уязвимость также можно использовать удаленно.
Исследователи рассказывают, что сервис WebExService с аргументом software-update запустит любую команду пользователя. Интересно, что для запуска команд он использует токен от системного процесса winlogon.exe, то есть команды будут запускаться с максимальными привилегиями в системе.

C:Usersron>sc 10.10.10.10  start webexservice a software-update 1 wmic process call create "cmd.exe" Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation.  All rights reserved. C:Windowssystem32>whoami nt authoritysystem

Для удаленной эксплуатации злоумышленнику понадобится лишь штатное средство Windows для управления службами sc.exe.

Как защититься


Чтобы защититься от этой уязвимости, Cisco WebEx выкатили патч с добавлением проверки. Теперь сервис проверяет, если исполняемый файл из параметров подписан WebEx. Если правильная подпись у файла отсутствует, то сервис прекращает работу.

Пользователям необходимо обновить приложение Cisco Webex Meetings Desktop до версий 33.5.6 и 33.6.0. Для этого необходимо запустить приложение Cisco Webex Meetings и щелкнуть шестеренку в правом верхнем углу окна приложения, а затем выбрать элемент «Проверить наличие обновлений» в раскрывающемся списке.

Администраторы могут установить обновление сразу у всех своих пользователей, используя следующие рекомендации от Cisco по массовому развертыванию приложения .

Кроме того, эксперты Positive Technologies создали сигнатуру для IDS Suricata, которая позволяет выявлять и предотвращать попытки эксплуатации уязвимости CVE-2018-15442 — нашим клиентам, у которых установлен PT Network Attack Discovery , данное правило уже доступно через механизм обновления.

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.