Haavoittuvuus Cisco Webex Meetings -asiakasohjelmistossa

Haavoittuvuus23/2018

Cisco Webex Meetings Desktop App -ohjelmiston Microsoft Windows version päivityspalvelussa on havaittu haavoittuvuus, joka mahdollistaa hyökkääjän suorittamaan paikallisella tai Windows -toimialuetunnuksella komentoja korotetuin käyttöoikeuksin.

Haavoittuvuus aiheutuu vajavaisesta käyttäjän antamien määritysten tarkistuksesta Cisco Webex Meetings -asiakasohjelmiston asentaman päivityspalvelun käynnistämisen yhteydessä.

Hyökkääjä voi hyväksikäyttää haavoittuvuutta käynnistämällä päivityspalvelun muokatuilla määrityksillä suorittaakseen haluamiaan komentoja järjestelmän SYSTEM käyttöoikeuksilla.

Haavoittuvuutta on mahdollista hyväksikäyttää myös verkon yli, mikäli kohteeseen on mahdollista saada etähallintayhteys paikallisella tai Windows -toimialuetunnuksella. Tämä hyväksikäyttömenetelmä ei tosin ole mahdollinen Windows 10 työasemissa kuin pääkäyttäjän oikeuksin.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Paikallisesti

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Cisco Webex Meetings Desktop App julkaisua 33.5.6 vanhemmat versiot Microsoft Windows ympäristössä.

Cisco Webex Productivity Tools julkaisua 32.6.0. uudemmat versioon 33.0.5. asti Microsoft Windows ympäristössä.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä ohjelmisto valmistajan ohjeiden mukaisesti uusimpaan versioon.

Ohjelmiston päivittäminen estää pääosin haavoittuvuuden hyväksikäyttömenetelmän hyödyntämisen, mutta ei suojaa siltä täysin. Lisätiedoissa mainitulta WebExec.org -sivustolta löytyy ohje jonka avulla verkon yli tehtävää hyväksikäyttömenetelmää vastaan saadaan vielä lisäsuojaa rajoittamalla suoritusoikeuksia.

Lisätietoja

Alkuperäinen haavoittuvuustiedote julkaistu 26.10.2018