Layanan hosting webinar dan pertemuan online Cisco WebEx menempati lebih dari setengah pasar konferensi web global (53%),
yang digunakan oleh lebih dari 20 juta orang. Minggu ini, para ahli SkullSecurity dan Counter Hack
menemukan kerentanan dalam versi desktop WebEx untuk Windows yang dapat mengeksekusi perintah sewenang-wenang dengan hak istimewa sistem.
Apa masalahnya?
Kerentanan diidentifikasi dalam layanan pembaruan dari Cisco Webex Meetings Desktop untuk aplikasi Windows dan dikaitkan dengan verifikasi parameter pengguna yang tidak mencukupi.
Ini dapat memungkinkan penyerang lokal terotentikasi untuk mengeksekusi perintah sewenang-wenang sebagai pengguna SISTEM istimewa. Menurut para ahli yang menemukan kesalahan, kerentanan juga dapat digunakan dari jarak jauh.
Para peneliti mengatakan bahwa layanan WebExService dengan argumen pembaruan perangkat lunak akan meluncurkan perintah pengguna apa pun. Menariknya, untuk menjalankan perintah, ia menggunakan token dari proses sistem winlogon.exe, yaitu, perintah akan diluncurkan dengan hak istimewa maksimum dalam sistem.
C:\Users\ron>sc \\10.10.10.10 start webexservice a software-update 1 wmic process call create "cmd.exe" Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami nt authority\system
Untuk eksploitasi jarak jauh, penyerang hanya akan memerlukan alat Windows biasa untuk mengelola layanan sc.exe.
Cara melindungi diri sendiri
Untuk melindungi dari kerentanan ini, Cisco WebEx meluncurkan tambalan dengan penambahan verifikasi. Sekarang layanan memeriksa apakah file yang dapat dieksekusi dari parameter ditandatangani oleh WebEx. Jika file tidak memiliki tanda tangan yang benar, layanan akan berhenti berfungsi.
Pengguna harus memperbarui aplikasi Cisco Webex Meetings Desktop ke versi 33.5.6 dan 33.6.0. Untuk melakukan ini, luncurkan aplikasi Rapat Cisco Webex dan klik roda gigi di sudut kanan atas jendela aplikasi, dan kemudian pilih item "Periksa Pembaruan" di daftar turun bawah.
Administrator dapat menginstal pembaruan segera untuk semua pengguna mereka menggunakan
rekomendasi Cisco berikut
untuk penyebaran aplikasi secara massal .
Selain itu, para pakar Positive Technologies menciptakan tanda tangan IDS Suricata untuk mengidentifikasi upaya untuk mengeksploitasi
kerentanan CVE-2018-15442 dan mencegahnya. Untuk pengguna
PT Network Attack Discovery , aturan ini sudah tersedia melalui mekanisme pembaruan.