Services für das Hosting von Webinaren und Online-Meetings Cisco WebEx nimmt mehr als die Hälfte des globalen Marktes für Webkonferenzen ein (53%) und
wird von mehr als 20 Millionen Menschen genutzt. Diese Woche haben Experten von SkullSecurity und Counter Hack
eine Sicherheitslücke in der Desktop-Version von WebEx für Windows entdeckt, die beliebige Befehle mit Systemberechtigungen ausführen kann.
Was ist das Problem
Die Sicherheitsanfälligkeit wurde im Update-Service der Anwendung Cisco Webex Meetings Desktop für Windows festgestellt und ist mit einer unzureichenden Überprüfung der Benutzerparameter verbunden.
Es kann einem authentifizierten lokalen Angreifer ermöglichen, beliebige Befehle als privilegierter SYSTEM-Benutzer auszuführen. Laut Experten, die den Fehler entdeckt haben, kann die Sicherheitsanfälligkeit auch remote verwendet werden.
Forscher sagen, dass der WebExService-Dienst mit dem Software-Update-Argument jeden Benutzerbefehl startet. Interessanterweise wird zum Ausführen von Befehlen ein Token aus dem Systemprozess winlogon.exe verwendet, dh Befehle werden mit maximalen Berechtigungen im System gestartet.
C:\Users\ron>sc \\10.10.10.10 start webexservice a software-update 1 wmic process call create "cmd.exe" Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami nt authority\system
Für die Remote-Ausnutzung benötigt ein Angreifer nur ein reguläres Windows-Tool, um die sc.exe-Dienste zu verwalten.
Wie Sie sich schützen können
Zum Schutz vor dieser Sicherheitsanfälligkeit hat Cisco WebEx einen Patch mit zusätzlicher Überprüfung eingeführt. Jetzt prüft der Dienst, ob die ausführbare Datei aus den Parametern von WebEx signiert ist. Wenn die Datei nicht die richtige Signatur hat, funktioniert der Dienst nicht mehr.
Benutzer müssen die Cisco Webex Meetings Desktop-Anwendung auf die Versionen 33.5.6 und 33.6.0 aktualisieren. Starten Sie dazu die Anwendung Cisco Webex Meetings, klicken Sie auf das Zahnrad in der oberen rechten Ecke des Anwendungsfensters und wählen Sie in der Dropdown-Liste den Eintrag "Nach Updates suchen" aus.
Administratoren können das Update sofort für alle Benutzer installieren, indem sie die folgenden
Cisco-Empfehlungen für die Massenbereitstellung der Anwendung verwenden .
Darüber hinaus haben Experten von Positive Technologies eine IDS Suricata-Signatur erstellt, um Versuche zu identifizieren, die
Sicherheitsanfälligkeit CVE-2018-15442 auszunutzen und zu verhindern. Für Benutzer von
PT Network Attack Discovery ist diese Regel bereits über den Aktualisierungsmechanismus verfügbar.