The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.01.2017 09:23  В браузерном дополнении Cisco WebEx выявлен URL, позволяющий выполнить код в системе

В браузерном дополнении, устанавливаемом при использовании платформы для проведения web-конференций Cisco WebEx, выявлена показательная уязвимость, позволяющая при открытии в браузере специально оформленной страницы выполнить код на уровне операционной системы с правами текущего пользователя. Платформа WebEx получила большое распространение в корпоративной среде и насчитывает более 20 млн пользователей.

Уязвимость вызвана наличием предопределённого идентификатора, позволяющего передать дополнению команды (возможность используется для встраивания на сайты виджетов WebEx). В частности, команды можно передать через запрос со специально оформленной страницы, обращение с которой может быть скрыто от пользователя путем применения блоков iframe. Так как дополнение реализовано в виде надстройки над нативным кодом, вызываемым при помощи API nativeMessaging, атакующие могут добиться выполнения вызовов nativeMessaging от имени дополнения и организовать выполнение произвольного кода на уровне системы.

Эксплоит достаточно прост и сводится к передаче сообщения WebEx с любой страницы, названной "cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html" (название принципиально, так как является идентификатором, позволяющим выполнить действия на стороне дополнения). Для выполнения кода используется команда GpcInitCall, позволяющая вызвать функцию из нативного компонента. Например, в подготовленном для платформы Windows эксплоите осуществляется обращение к библиотеке "MSVCR100.DLL" и вызов функции "_wsystem()". В качестве примера приведён запуск калькулятора после открытия в браузере подготовленной атакующими web-страницы.

В дополнении подобная функциональность используется для передачи события "launch_meeting", в результате которого управление передаётся установленному в систему коммуникационному клиенту WebEx (разделяемая библиотека "atmccli"). Передаваемые в составе события "launch_meeting" команды вызывают обработчики, реализованные в виде функций, экспортируемых библиотекой "atmccli". Так как имя библиотеки и команда передаётся в составе запроса, атакующий имеет возможность вместо "atmccli" указать любую системную библиотеку, а вместо команды - любую экспортируемую этой библиотекой функцию. Подобные возможности оставались бы особенностью внутреннего кода дополнения, если бы не наличие скрытого идентификатора, позволяющего передавать команды с внешних ресурсов.


   var msg = {
       ...
       GpcComponentName: btoa("MSVCR100.DLL"),
       GpcInitCall: btoa("_wsystem(ExploitShellCommand);"), ExploitShellCommand: btoa("calc.exe"),
   }

   document.dispatchEvent(new CustomEvent("connect", { detail: { token: "token" }}));
       document.dispatchEvent(new CustomEvent("message", { detail: {
            message: JSON.stringify(msg),
            message_type: "launch_meeting",
            timestamp: (new Date()).toUTCString(),
            token: "token"
        }
    }));

Разработчики Firefox уже добавили дополнение WebEx Extension в черный список. Дополнение также временно заблокировано в Chrome web store. Компания Cisco подготовила исправление (1.0.3), но оно не блокирует скрытый идентификатор, а ограничивает возможность выполнения запросов с сайтов *.webex.com и *.webex.com.cn при обязательном применении HTTPS. Ряд разработчиков Chromium не согласились с таким исправлением, так как по сути владельцам поддоменов webex.com, среди которых корпоративные клиенты, оставлена возможность выполнения любого кода на стороне системы пользователя и возникают вопросы о возможности осуществления XSS-атак.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security, cisco
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:49, 24/01/2017 [ответить] [смотреть все]
  • +5 +/
    Т.е. сиско просто сузила круг тех, кто может юзать эксплойт?
     
     
  • 2.2, kai3341, 09:58, 24/01/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    неа, не сузила
     
     
  • 3.18, Аноним, 22:25, 24/01/2017 [^] [ответить] [смотреть все]
  • +1 +/
    , а просто расширила "круг" тем, кто может юзать эксплоит.
     
  • 1.3, Аноним, 10:33, 24/01/2017 [ответить] [смотреть все]
  • +/
    Ждём citrix :)
     
  • 1.4, Hellraiser, 10:37, 24/01/2017 [ответить] [смотреть все]
  • +4 +/
    а кто сказал, что это уязвимость? может это API для управления девайсом :D
     
  • 1.6, МимоМаккузик, 10:40, 24/01/2017 [ответить] [смотреть все]  
  • +7 +/
    О Святой Билл и Милинда,зачем было добавлять функционал позволяющий что-либо запускать с помощью JS?
    Если ружье висит, то рано или поздно из него шмальнут.
     
     
  • 2.8, kai3341, 10:59, 24/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Кстати про ружьё: [https://habrahabr.ru/company/dsec/blog/278549/]
     
  • 1.10, Аноним, 12:54, 24/01/2017 [ответить] [смотреть все]  
  • +4 +/
    У сиски ещё anydisconnect-vpn есть Такой же троян Эта хрень на моей линукс-маш... весь текст скрыт [показать]
     
  • 1.11, Аноним, 15:06, 24/01/2017 [ответить] [смотреть все]  
  • +1 +/
    ынтерпрайзненько, однако
     
  • 1.12, Аноним, 15:46, 24/01/2017 [ответить] [смотреть все]  
  • +3 +/
    Цена вашему cisco д мо Дорого, с троянами, избыточно и с понтами дешевыми А ... весь текст скрыт [показать]
     
     
  • 2.13, Cisco CEO, 15:58, 24/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –6 +/
    Звучит как плач неудачника, которого не взяли на работу Можешь пояснить по пово... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, cmp, 16:23, 24/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Откаты, чтож еще, хотя циска и прочие европеоиды вынужденны блюсти западное законодательство, а вот хуавеи не брезгуют ничем, поэтому циска массово выпиливается, а хуавей запиливается.
     
     
  • 4.17, Аноним, 20:07, 24/01/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Сразу видно админов локалхоста Давай, расскажи нам, как ты 10 0 0 0 24 руками н... весь текст скрыт [показать]
     
     
  • 5.19, й, 03:32, 25/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ну, в билайне хуавей, например, лет десять назад ставился в порядке унификации (они к тому времени какое-то время как занялись домашним интернетом: накупили провайдеров и охренели с зоопарка)
     
  • 5.20, cmp, 07:23, 25/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну же не томи, кто же на цисках сидит такой крупный, что билайн, мегафон, мтс и ростелеком со своими хуавеями отсасывают в сторонке.

    http://www.rbc.ru/technology_and_media/05/10/2016/57f516329a7947667d7fb179
    http://rusouts.ru/raznoe/autsorsing-i-mts.html

    почитай, дурачек

     
  • 3.16, др. аноним, 16:24, 24/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    > Звучит как плач неудачника, которого не взяли на работу. Можешь пояснить по
    > поводу коррупции?

    а значит по другим пунктам вопросов нет?? 8(
    :))))))))))

     
  • 3.21, cat666, 18:51, 30/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Общался я с некоторыми "удачниками", сертифицированными специалистами Cisco, был потрясён их не знанием элементарных вещей связанных с маршрутизацией. Дорого, плохо масштабируемо, выходит из строя так же как и всё остальное! Намазывайте это *авно на ваш бутерброд и дальше.
     
  • 1.14, Аноним, 16:18, 24/01/2017 [ответить] [смотреть все]  
  • +1 +/
    очередная фича для удаленного админинга да давно всё понятно про виндовз, ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList