Haavoittuvuus23/2018
Cisco Webex Meetings Desktop App -ohjelmiston Microsoft Windows version päivityspalvelussa on havaittu haavoittuvuus, joka mahdollistaa hyökkääjän suorittamaan paikallisella tai Windows -toimialuetunnuksella komentoja korotetuin käyttöoikeuksin.
Haavoittuvuus aiheutuu vajavaisesta käyttäjän antamien määritysten tarkistuksesta Cisco Webex Meetings -asiakasohjelmiston asentaman päivityspalvelun käynnistämisen yhteydessä.
Hyökkääjä voi hyväksikäyttää haavoittuvuutta käynnistämällä päivityspalvelun muokatuilla määrityksillä suorittaakseen haluamiaan komentoja järjestelmän SYSTEM käyttöoikeuksilla.
Haavoittuvuutta on mahdollista hyväksikäyttää myös verkon yli, mikäli kohteeseen on mahdollista saada etähallintayhteys paikallisella tai Windows -toimialuetunnuksella. Tämä hyväksikäyttömenetelmä ei tosin ole mahdollinen Windows 10 työasemissa kuin pääkäyttäjän oikeuksin.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Paikallisesti
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Käyttövaltuuksien laajentaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Cisco Webex Meetings Desktop App julkaisua 33.5.6 vanhemmat versiot Microsoft Windows ympäristössä.
Cisco Webex Productivity Tools julkaisua 32.6.0. uudemmat versioon 33.0.5. asti Microsoft Windows ympäristössä.
Mistä on kysymys?
Päivitä ohjelmisto valmistajan ohjeiden mukaisesti uusimpaan versioon.
Ohjelmiston päivittäminen estää pääosin haavoittuvuuden hyväksikäyttömenetelmän hyödyntämisen, mutta ei suojaa siltä täysin. Lisätiedoissa mainitulta WebExec.org -sivustolta löytyy ohje jonka avulla verkon yli tehtävää hyväksikäyttömenetelmää vastaan saadaan vielä lisäsuojaa rajoittamalla suoritusoikeuksia.
Mitä voin tehdä?
Alkuperäinen haavoittuvuustiedote julkaistu 26.10.2018