Сервисы для проведения вебинаров и онлайн-совещаний Cisco WebEx занимают более половины мирового рынка веб-конференций (53%), их используют свыше 20 млн человек. На этой неделе специалисты SkullSecurity и Counter Hack обнаружили уязвимость в десктопной версии WebEx для Windows, позволяющую выполнять произвольные команды с системными привилегиями.

В чем проблема


Уязвимость выявлена в службе обновления приложения Cisco Webex Meetings Desktop для Windows и связана с недостаточной проверкой параметров пользователя.

Она может позволить аутентифицированному локальному злоумышленнику выполнять произвольные команды в качестве привилегированного пользователя SYSTEM. Как утверждают эксперты, обнаружившие ошибку, уязвимость также можно использовать удаленно.
Исследователи рассказывают, что сервис WebExService с аргументом software-update запустит любую команду пользователя. Интересно, что для запуска команд он использует токен от системного процесса winlogon.exe, то есть команды будут запускаться с максимальными привилегиями в системе.

C:\Users\ron>sc \\10.10.10.10  start webexservice a software-update 1 wmic process call create "cmd.exe"
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.
C:\Windows\system32>whoami
nt authority\system

Для удаленной эксплуатации злоумышленнику понадобится лишь штатное средство Windows для управления службами sc.exe.

Как защититься


Чтобы защититься от этой уязвимости, Cisco WebEx выкатили патч с добавлением проверки. Теперь сервис проверяет, если исполняемый файл из параметров подписан WebEx. Если правильная подпись у файла отсутствует, то сервис прекращает работу.

Пользователям необходимо обновить приложение Cisco Webex Meetings Desktop до версий 33.5.6 и 33.6.0. Для этого необходимо запустить приложение Cisco Webex Meetings и щелкнуть шестеренку в правом верхнем углу окна приложения, а затем выбрать элемент «Проверить наличие обновлений» в раскрывающемся списке.

Администраторы могут установить обновление сразу у всех своих пользователей, используя следующие рекомендации от Cisco по массовому развертыванию приложения.

Кроме того, эксперты Positive Technologies создали сигнатуру IDS Suricata для выявления попыток эксплуатации уязвимости CVE-2018-15442 и их предотвращения. Пользователям PT Network Attack Discovery данное правило уже доступно через механизм обновления.

Комментарии (1)


  1. SergeyMax
    26.10.2018 21:44

    А для запуска сервиса случаем не надо иметь права на запуск сервиса, которые по умолчанию только у группы администраторов?