Servicios para organizar seminarios web y reuniones en línea Cisco WebEx ocupa más de la mitad del mercado mundial de conferencias web (53%),
son utilizados por más de 20 millones de personas. Esta semana, los expertos de SkullSecurity y Counter Hack
descubrieron una vulnerabilidad en la versión de escritorio de WebEx para Windows que podría ejecutar comandos arbitrarios con privilegios del sistema.
Cual es el problema
La vulnerabilidad se identificó en el servicio de actualización de la aplicación Cisco Webex Meetings Desktop para Windows y está asociada con una verificación insuficiente de los parámetros del usuario.
Puede permitir que un atacante local autenticado ejecute comandos arbitrarios como un usuario de SYSTEM privilegiado. Según los expertos que descubrieron el error, la vulnerabilidad también se puede usar de forma remota.
Los investigadores dicen que el servicio WebExService con el argumento de actualización de software lanzará cualquier comando de usuario. Curiosamente, para ejecutar comandos, utiliza un token del proceso del sistema winlogon.exe, es decir, los comandos se ejecutarán con los máximos privilegios en el sistema.
C:\Users\ron>sc \\10.10.10.10 start webexservice a software-update 1 wmic process call create "cmd.exe" Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami nt authority\system
Para la explotación remota, un atacante solo necesitará una herramienta regular de Windows para administrar los servicios sc.exe.
Cómo protegerte
Para protegerse contra esta vulnerabilidad, Cisco WebEx lanzó un parche con la adición de verificación. Ahora el servicio verifica si el archivo ejecutable de los parámetros está firmado por WebEx. Si el archivo no tiene la firma correcta, el servicio deja de funcionar.
Los usuarios deben actualizar la aplicación Cisco Webex Meetings Desktop a las versiones 33.5.6 y 33.6.0. Para hacer esto, inicie la aplicación Cisco Webex Meetings y haga clic en el engranaje en la esquina superior derecha de la ventana de la aplicación, y luego seleccione el elemento "Buscar actualizaciones" en la lista desplegable.
Los administradores pueden instalar la actualización inmediatamente para todos sus usuarios utilizando las siguientes
recomendaciones de Cisco para la implementación masiva de la aplicación .
Además, los expertos de Positive Technologies crearon una firma IDS Suricata para identificar los intentos de explotar la
vulnerabilidad CVE-2018-15442 y prevenirlos. Para los usuarios de
PT Network Attack Discovery , esta regla ya está disponible a través del mecanismo de actualización.