Services d'hébergement de webinaires et de réunions en ligne Cisco WebEx occupe plus de la moitié du marché mondial des conférences Web (53%), ils
sont utilisés par plus de 20 millions de personnes. Cette semaine, les experts de SkullSecurity et Counter Hack ont
découvert une vulnérabilité dans la version de bureau de WebEx pour Windows qui pourrait exécuter des commandes arbitraires avec des privilèges système.
Quel est le problème
La vulnérabilité a été identifiée dans le service de mise à jour de l'application Cisco Webex Meetings Desktop pour Windows et est associée à une vérification insuffisante des paramètres utilisateur.
Il peut permettre à un attaquant local authentifié d'exécuter des commandes arbitraires en tant qu'utilisateur SYSTEM privilégié. Selon des experts qui ont découvert l'erreur, la vulnérabilité peut également être utilisée à distance.
Les chercheurs disent que le service WebExService avec l'argument de mise à jour logicielle lancera n'importe quelle commande utilisateur. Fait intéressant, pour exécuter des commandes, il utilise un jeton du processus système winlogon.exe, c'est-à-dire que les commandes seront lancées avec le maximum de privilèges dans le système.
C:\Users\ron>sc \\10.10.10.10 start webexservice a software-update 1 wmic process call create "cmd.exe" Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami nt authority\system
Pour une exploitation à distance, un attaquant n'aura besoin que d'un outil Windows standard pour gérer les services sc.exe.
Comment se protéger
Pour se protéger contre cette vulnérabilité, Cisco WebEx a déployé un correctif avec l'ajout de la vérification. Maintenant, le service vérifie si le fichier exécutable des paramètres est signé par WebEx. Si le fichier n'a pas la signature correcte, le service cesse de fonctionner.
Les utilisateurs doivent mettre à niveau l'application Cisco Webex Meetings Desktop vers les versions 33.5.6 et 33.6.0. Pour ce faire, lancez l'application Cisco Webex Meetings et cliquez sur l'engrenage dans le coin supérieur droit de la fenêtre de l'application, puis sélectionnez l'élément "Rechercher les mises à jour" dans la liste déroulante.
Les administrateurs peuvent installer la mise à jour immédiatement pour tous leurs utilisateurs à l'aide des
recommandations Cisco suivantes
pour le déploiement en masse de l'application .
De plus, les experts de Positive Technologies ont créé une signature IDS Suricata pour identifier les tentatives d'exploitation de la
vulnérabilité CVE-2018-15442 et les empêcher. Pour les utilisateurs
PT Network Attack Discovery , cette règle est déjà disponible via le mécanisme de mise à jour.