ウェビナーおよびオンライン会議をホストするためのサービスCisco WebExは、世界のWeb会議市場の半分以上(53%)を占めており、2,000万人以上が使用しています。 今週、SkullSecurityおよびCounter Hackの専門家は、システム権限で任意のコマンドを実行できるWebEx for Windowsのデスクトップバージョンに脆弱性を発見しました 。
問題は何ですか
この脆弱性は、Windows用Cisco Webex Meetingsデスクトップアプリケーションの更新サービスで確認され、ユーザーパラメーターの検証が不十分であることに関連しています。
認証されたローカルの攻撃者が特権SYSTEMユーザーとして任意のコマンドを実行できるようにする可能性があります。 エラーを発見した専門家によると、この脆弱性はリモートでも使用できます。
研究者は、ソフトウェア更新引数を持つWebExServiceサービスがユーザーコマンドを起動すると言います。 興味深いことに、コマンドを実行するには、winlogon.exeシステムプロセスのトークンを使用します。つまり、コマンドはシステム内で最大限の権限で起動されます。
C:\Users\ron>sc \\10.10.10.10 start webexservice a software-update 1 wmic process call create "cmd.exe" Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami nt authority\system
リモートの悪用では、攻撃者はsc.exeサービスを管理するために通常のWindowsツールのみを必要とします。
自分を守る方法
この脆弱性から保護するために、Cisco WebExは検証を追加したパッチを公開しました。 これで、サービスは、パラメーターの実行可能ファイルがWebExによって署名されているかどうかを確認します。 ファイルに正しい署名がない場合、サービスは動作を停止します。
ユーザーは、Cisco Webex Meetings Desktopアプリケーションをバージョン33.5.6および33.6.0にアップグレードする必要があります。 これを行うには、Cisco Webex Meetingsアプリケーションを起動して、アプリケーションウィンドウの右上隅にある歯車をクリックし、ドロップダウンリストで[更新の確認]項目を選択します。
管理者は、アプリケーションの大量展開に関する次のシスコの推奨事項を使用して、すべてのユーザーの更新をすぐにインストールできます 。
さらに、Positive Technologiesの専門家がIDS Suricata署名を作成して、 CVE-2018-15442を悪用しようとする試みを特定および防止しました 。 PT Network Attack Discoveryユーザーの場合、このルールは更新メカニズムを通じてすでに利用可能です。