Уязвимость в плагине WebEx для Chrome, созданном Cisco и позволяющем десяткам миллионов корпоративных пользователей участвовать в рабочих веб-конференциях, открывает возможность для удаленного исполнения кода в системе.

Cisco начала выпускать обновления, устраняющие эту уязвимость; ее детали обнародовал в понедельник Тэвис Орманди (Tavis Ormandy) из Google Project Zero.

По словам исследователя, корнем проблемы является «магический URL», используемый расширением Chrome в ходе сессий WebEx. Эксплуатация возможна, если запрос URL содержит строку cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html; автор атаки может использовать ее в iFrame, и пользователь даже не заметит активный эксплойт.

«Это расширение использует nativeMessaging, поэтому магической строки для любого сайта достаточно, чтобы исполнить произвольный код (!!)», — пишет Орманди на сайте Project Zero. Если атакующий разместил эксплойт онлайн, ему нужно будет лишь заманить пользователя Chrome-плагина на эту площадку.

О наличии уязвимости Cisco была поставлена в известность в минувший четверг, и к концу недели Chrome Web Store уже блокировал новые попытки установки расширения. Одновременно разработчик подготовил корректирующий выпуск 1.0.3, однако Орманди предупреждает, что проблему это полностью не решит. «Cisco поинтересовалась, можно ли просто свести магический URL к https://*.webex.com/… — рассказывает исследователь. — Думаю, да, хотя на деле это означает, что любая XSS на webex.com позволит удаленно выполнить код. Если они считают, что такой риск приемлем, других возражений у меня нет».

Патч будет раздаваться пользователям в автоматическом режиме. Комментируя его выпуск, эксперт Cloudflare Филиппо Валсорда (Filippo Valsorda) назвал патч «слабым». «Все, что он делает, — это вывод всплывающего уведомления, образец которого приведен ниже, — говорит эксперт. — Если кликнуть OK, зловред все равно будет установлен».

cisco webex patch popup

В своей блог-записи Валсорда также предупреждает: «Более того, сайту webex.com разрешено обходить всплывающее окно. Если на этом сайте присутствует уязвимость, ее можно будет использовать для компрометации любой машины, даже если на ней работает пропатченная версия». Для снижения рисков исследователь предлагает создать особый профиль WebEx и приводит в своем блоге соответствующие инструкции.

Исследуя уязвимость, Орманди со своей стороны обнаружил, что, инициируя сессию, WebEx-плагин передает ряд параметров, многие из которых пригодны для исполнения кода. Так, исследователю удалось использовать копию библиотеки C Runtime (CRT) от Microsoft для исполнения системных вызовов. «Невероятно, но это сработало», — пишет Орманди, прилагая PoC-эксплойт.

Тэвис Орманди известен рядом публикаций об уязвимостях в популярных бизнес-приложениях и защитном ПО, в том числе в продуктах LastPass, Sophos, Symantec, Kaspersky и FireEye. Все его находки впоследствии были пропатчены.

Update. 26 января Cisco выпустила версию 1.0.7 WebEx-плагина для Chrome с новым патчем. После его проверки Орманди заявил, что на этот раз у него претензий нет и вопрос закрыт. При этом исследователь вновь отметил, что оперативность разработчика производит на него глубокое впечатление.

Как оказалось, этой же уязвимости подвержены аналогичные расширения Firefox и Internet Explorer от Cisco, работающих на Windows. Патчи для них были выпущены 28 января, пользователям настоятельно рекомендуется обновить плагины до версий 106 и 10031.6.2017.0127, соответственно.

Категории: Уязвимости