Cisco Webex na Chrome groźny nawet po łatce – dla ransomware to rozszerzenie jest świetnym celem

Co najmniej 20 milionów użytkowników – i to głównieużytkowników w środowiskach biznesowych – korzysta zrozszerzenia CiscoWebex dla Chrome, pozwalającego na łatwe korzystanie zgrupowych telekonferencji przez przeglądarkę. Dzięki odkryciuTavisa Ormandy’ego z google’owego Projektu Zero wiemy, żerozszerzenie pozwala na jeszcze jedno. Wystarczy odwiedziećspreparowaną stronę internetową, by za pomocą tkwiącej w CiscoWebexie luki uruchomiony został zdalnie kod z uprawnieniamizalogowanego użytkownika. Biorąc pod uwagę popularnośćoprogramowania i profil jego użytkowników, możemy spodziewać sięspektaktularnych ataków ransomware.

Atak jest wręcz trywialnydo przeprowadzenia.Wystarczy na uzłośliwionej stronie umieścićplik zawierający „magiczny” ciągcwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html wnazwie. Usługa WebEx wykorzystuje go by zdalnie uruchomić spotkaniena komputerach z rozszerzeniem Chrome. Niby nic w tym złego, tyle żew ten sposób można nie tylko uruchomić spotkanie, ale jak odkryłOrmandy, można w ten sposób uruchomić dowolny kod. Co więcej,napastnik może ukryć wywołanie przed ofiarą, ładując felernyciąg np. w pływającej ramce iframe.

Ormandy dał producentowi czas na przygotowanie poprawki (widaćCisco ma lepsze układy w Google niż np. Microsoft),więc o zagrożeniu dowiadujemy się dopiero teraz, gdy Cisco wydałojuż poprawkę do swojego rozszerzenia. Wydana łatka nie wydaje sięjednak wystarczająca. Ormandy ostrzega bowiem, że nowa wersja(1.03) wciąż pozwala na wywołanie „magicznego” ciągu bezostrzeżenia. W połączeniu z podatnością cross-site scripting(XSS) i wstrzyknięciem złośliwego skryptu w pozornie bezpiecznąstronę internetową, wciąż możliwe jest wykorzystanie błędu wWebExie.

Szczerze mówiąc lepszym rozwiązaniem jest więc usunięcie tegorozszerzenia z Chrome. Niezależny badacz Aaron Zauner zbadałzachowanie kodu Cisco i odkrył, co następuje: ma ono swójwłasny interfejs programowania, po którym przenoszone sąwiadomości JSON między rozszerzeniem, stroną internetową naktórej działać ma telekonferencja oraz kodem przeglądarki. W tychwiadomościach przekazywane jest wiele właściwości o sesji, w tymwrażliwych właściwości, otwierających drogę do ataku. Coszczególnie ciekawe, jedna z tych właściwości ma swój własnyjęzyk skryptowy, pozwalający na interakcje z natywnym kodemprzeglądarki. W dodatku rozszerzenie zawiera część microsoftowegośrodowiska uruchomieniowego dla C, dając napastnikowi możliwośćwywołania niskopoziomowych funkcji tego języka, po prostuprzekazując je w obiekcie JSON.

Jeśli jednak nie możecie usunąć rozszerzenia Cisco, bo poprostu jest niezbędne w pracy, wówczas można ograniczyćzagrożenie jakie stanowi, tworząc oddzielny profil w Chrome – itylko tam instalując WebExa. Przewodnik krok po kroku, jak to zrobićprzedstawiłFilippo Valsorda, ekspert od bezpieczeństwa z firmy CloudFlare.