r   e   k   l   a   m   a
r   e   k   l   a   m   a

Cisco Webex na Chrome groźny nawet po łatce – dla ransomware to rozszerzenie jest świetnym celem

Strona główna AktualnościBEZPIECZEŃSTWO

Co najmniej 20 milionów użytkowników – i to głównie użytkowników w środowiskach biznesowych – korzysta z rozszerzenia Cisco Webex dla Chrome, pozwalającego na łatwe korzystanie z grupowych telekonferencji przez przeglądarkę. Dzięki odkryciu Tavisa Ormandy’ego z google’owego Projektu Zero wiemy, że rozszerzenie pozwala na jeszcze jedno. Wystarczy odwiedzieć spreparowaną stronę internetową, by za pomocą tkwiącej w Cisco Webexie luki uruchomiony został zdalnie kod z uprawnieniami zalogowanego użytkownika. Biorąc pod uwagę popularność oprogramowania i profil jego użytkowników, możemy spodziewać się spektaktularnych ataków ransomware.

Atak jest wręcz trywialny do przeprowadzenia.Wystarczy na uzłośliwionej stronie umieścić plik zawierający „magiczny” ciąg cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html w nazwie. Usługa WebEx wykorzystuje go by zdalnie uruchomić spotkanie na komputerach z rozszerzeniem Chrome. Niby nic w tym złego, tyle że w ten sposób można nie tylko uruchomić spotkanie, ale jak odkrył Ormandy, można w ten sposób uruchomić dowolny kod. Co więcej, napastnik może ukryć wywołanie przed ofiarą, ładując felerny ciąg np. w pływającej ramce iframe.

Ormandy dał producentowi czas na przygotowanie poprawki (widać Cisco ma lepsze układy w Google niż np. Microsoft), więc o zagrożeniu dowiadujemy się dopiero teraz, gdy Cisco wydało już poprawkę do swojego rozszerzenia. Wydana łatka nie wydaje się jednak wystarczająca. Ormandy ostrzega bowiem, że nowa wersja (1.03) wciąż pozwala na wywołanie „magicznego” ciągu bez ostrzeżenia. W połączeniu z podatnością cross-site scripting (XSS) i wstrzyknięciem złośliwego skryptu w pozornie bezpieczną stronę internetową, wciąż możliwe jest wykorzystanie błędu w WebExie.

r   e   k   l   a   m   a

Szczerze mówiąc lepszym rozwiązaniem jest więc usunięcie tego rozszerzenia z Chrome. Niezależny badacz Aaron Zauner zbadał zachowanie kodu Cisco i odkrył, co następuje: ma ono swój własny interfejs programowania, po którym przenoszone są wiadomości JSON między rozszerzeniem, stroną internetową na której działać ma telekonferencja oraz kodem przeglądarki. W tych wiadomościach przekazywane jest wiele właściwości o sesji, w tym wrażliwych właściwości, otwierających drogę do ataku. Co szczególnie ciekawe, jedna z tych właściwości ma swój własny język skryptowy, pozwalający na interakcje z natywnym kodem przeglądarki. W dodatku rozszerzenie zawiera część microsoftowego środowiska uruchomieniowego dla C, dając napastnikowi możliwość wywołania niskopoziomowych funkcji tego języka, po prostu przekazując je w obiekcie JSON.

Jeśli jednak nie możecie usunąć rozszerzenia Cisco, bo po prostu jest niezbędne w pracy, wówczas można ograniczyć zagrożenie jakie stanowi, tworząc oddzielny profil w Chrome – i tylko tam instalując WebExa. Przewodnik krok po kroku, jak to zrobić przedstawił Filippo Valsorda, ekspert od bezpieczeństwa z firmy CloudFlare.

© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.