Serviços para hospedagem de seminários on-line e reuniões on-line O Cisco WebEx ocupa mais da metade do mercado global de conferências na web (53%), e
é usado por mais de 20 milhões de pessoas. Nesta semana, os especialistas em SkullSecurity e Counter Hack
descobriram uma vulnerabilidade na versão desktop do WebEx para Windows que poderia executar comandos arbitrários com privilégios de sistema.
Qual é o problema
A vulnerabilidade foi identificada no serviço de atualização do aplicativo Cisco Webex Meetings Desktop para Windows e está associada à verificação insuficiente dos parâmetros do usuário.
Ele pode permitir que um invasor local autenticado execute comandos arbitrários como um usuário privilegiado do SYSTEM. Segundo especialistas que descobriram o erro, a vulnerabilidade também pode ser usada remotamente.
Os pesquisadores dizem que o serviço WebExService com o argumento de atualização de software iniciará qualquer comando do usuário. Curiosamente, para executar comandos, ele usa um token do processo do sistema winlogon.exe, ou seja, os comandos serão iniciados com o máximo de privilégios no sistema.
C:\Users\ron>sc \\10.10.10.10 start webexservice a software-update 1 wmic process call create "cmd.exe" Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami nt authority\system
Para exploração remota, um invasor precisará apenas de uma ferramenta regular do Windows para gerenciar os serviços sc.exe.
Como se proteger
Para se proteger contra essa vulnerabilidade, o Cisco WebEx lançou um patch com a adição de verificação. Agora o serviço verifica se o arquivo executável dos parâmetros está assinado pelo WebEx. Se o arquivo não tiver a assinatura correta, o serviço deixará de funcionar.
Os usuários precisam atualizar o aplicativo Cisco Webex Meetings Desktop para as versões 33.5.6 e 33.6.0. Para fazer isso, inicie o aplicativo Cisco Webex Meetings e clique na engrenagem no canto superior direito da janela do aplicativo e selecione o item "Verificar atualizações" na lista suspensa.
Os administradores podem instalar a atualização imediatamente para todos os seus usuários usando as seguintes
recomendações da Cisco para implantação em massa do aplicativo .
Além disso, os especialistas da Positive Technologies criaram uma assinatura do IDS Suricata para identificar tentativas de explorar a
vulnerabilidade CVE-2018-15442 e evitá-las. Para usuários do
PT Network Attack Discovery , essa regra já está disponível através do mecanismo de atualização.