思科修补本地WebEx漏洞,在AD部署中可远程利用
根据思科安全公告,思科Webex Meetings桌面应用程序(适用于33.6.0之前的Windows安装)可由经过身份验证的攻击者在本地利用,允许以特权用户身份执行任意命令。
“该漏洞是由于用户提供的参数验证不充分。攻击者可以通过使用精心设计的参数调用更新服务命令来利用此漏洞,”思科安全公告表示。 “攻击可能允许攻击者使用SYSTEM用户权限运行任意命令。”
此外,正如思科所解释的那样,虽然Cisco Webex Meetings漏洞(也称为WebExec)要求攻击者对运行易受攻击软件的计算机进行本地访问。
但是,潜在攻击者可以在部署Active Directory并使用操作系统内置远程管理工具运行的系统上远程利用此漏洞。
“当安装WebEx客户端时,它还会安装一个名为WebExService的Windows服务,该服务可以执行SYSTEM级权限的任意命令,”发现该漏洞的Counter Hack的安全研究人员Ron Bowes和Jeff McJunkin说。
思科发布了受CVE-2018-15442漏洞受影响的所有应用的更新
“由于ACL不佳,任何本地或域用户都可以通过Window的远程服务接口启动该过程(Windows 10除外,这需要管理员登录)。”
想要阻止攻击者远程启动服务的管理员可以使用以下命令完全禁用此服务功能:
c:\>sc sdset webexservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPLORC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
您仍然应该将您的Cisco Webex meeting桌面应用程序安装升级到33.6.0或更高版本,这是Cisco为了消除WebExec漏洞而修复的版本,因为正如bug的发现者所说,WebExService“在没有补丁的情况下,仍然很容易受到本地权限升级的影响”。
此外,正如思科的咨询中所详述的,该公司已针对受WebExec漏洞影响的所有产品发布了安全更新,并且由于没有完全缓解CVE-2018-15442漏洞的解决方法,因此建议所有系统管理员更新到已修补的Windows 版本的Cisco Webex Meetings桌面应用程序和Cisco Webex生产力工具。