Сервисы для проведения вебинаров и онлайн-совещаний Cisco WebEx занимают более половины мирового рынка веб-конференций (53%), их используют свыше 20 млн человек. На этой неделе специалисты SkullSecurity и Counter Hack обнаружили уязвимость в десктопной версии WebEx для Windows, позволяющую выполнять произвольные команды с системными привилегиями.
В чем проблема
Уязвимость выявлена в службе обновления приложения Cisco Webex Meetings Desktop для Windows и связана с недостаточной проверкой параметров пользователя.
Она может позволить аутентифицированному локальному злоумышленнику выполнять произвольные команды в качестве привилегированного пользователя SYSTEM. Как утверждают эксперты, обнаружившие ошибку, уязвимость также можно использовать удаленно.
Исследователи рассказывают, что сервис WebExService с аргументом software-update запустит любую команду пользователя. Интересно, что для запуска команд он использует токен от системного процесса winlogon.exe, то есть команды будут запускаться с максимальными привилегиями в системе.
C:Usersron>sc \10.10.10.10 start webexservice a software-update 1 wmic process call create "cmd.exe"
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
C:Windowssystem32>whoami
nt authoritysystem
Для удаленной эксплуатации злоумышленнику понадобится лишь штатное средство Windows для управления службами sc.exe.
Как защититься
Чтобы защититься от этой уязвимости, Cisco WebEx выкатили патч с добавлением проверки. Теперь сервис проверяет, если исполняемый файл из параметров подписан WebEx. Если правильная подпись у файла отсутствует, то сервис прекращает работу.
Пользователям необходимо обновить приложение Cisco Webex Meetings Desktop до версий 33.5.6 и 33.6.0. Для этого необходимо запустить приложение Cisco Webex Meetings и щелкнуть шестеренку в правом верхнем углу окна приложения, а затем выбрать элемент «Проверить наличие обновлений» в раскрывающемся списке.
Администраторы могут установить обновление сразу у всех своих пользователей, используя следующие рекомендации от Cisco по массовому развертыванию приложения.
Кроме того, эксперты Positive Technologies создали сигнатуру IDS Suricata для выявления попыток эксплуатации уязвимости CVE-2018-15442 и их предотвращения. Пользователям PT Network Attack Discovery данное правило уже доступно через механизм обновления.
Автор: ptsecurity