Немецкие СМИ назвали расширение WebEx браузера Cisco дырой в безопасности

Расширение WebEx браузера Cisco — это ужасная дыра в интернет-безопасности, 7 марта пишет немецкое издание Heise Online.

Отмечается, что расширение браузера Cisco WebEx, используемое миллионами пользователей, несовершенно с точки зрения безопасности. Даже новая версия, которую компания Cisco поспешно выпустила, в лучшем случае лишь прикрывает зияющую дыру.

Сообщается, что расширение WebEx зарекомендовало себя как своего рода стандарт для виртуальных встреч в Сети — только у расширения Chrome около 20 миллионов пользователей. Можно подумать, что производитель Cisco тоже позаботился о своей безопасности. Это наивное доверие навсегда подорвано сообщением об ошибке от Тэвиса Орманди. Он демонстрирует, как любая веб-страница может выполнять произвольный код в системе Windows с помощью плагина Chrome.

Атака через эту уязвимость может заразить систему шпионским ПО. Это происходит совершенно незаметно для пользователя — ему даже не обязательно принимать участие в совещании WebEx. Для успешной атаки веб-сайт должен содержать только подстраницу с «секретным» именем файла. Любой URL-адрес, который заканчивается на «cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html», активирует расширение WebEx. Затем вызывается функция InitControl () библиотеки atmccli.dll. Для своей демонстрации Орманди просто нужно было соответствующим образом изменить несколько значений, чтобы запустить калькулятор в качестве примера. Вместо этого настоящий злоумышленник перезагрузит и запустит шпионскую программу.

Хорошей новостью является то, что команда безопасности Cisco по крайней мере значительно уменьшила остроту проблемы. Всего за три дня они выпустили версию WebEx 1.0.3, которая отвечает только на URL-адреса в доменах *.webex.com или *.webex.com.cn. Но это исправление очень спорное, так как во многом оставляет реальную проблему нетронутой.

Остается более 500 доменов, которые могут напрямую выполнять код в любой системе Windows с расширением WebEx в браузере. Кроме того, проблемы межсайтового скриптинга (XSS) на одном из этих законных сайтов WebEx достаточно, чтобы злоумышленники могли внедрить свой код через банды. XSS, безусловно, является наиболее распространенной проблемой безопасности, затрагивающей веб-сайты. Опыт показал, что на более крупных сайтах почти всегда можно найти пробел в XSS при небольшом поиске.

Если вы хотите защитить себя, вам следует полностью удалить расширение WebEx для браузера, пока Cisco не внесет фундаментальный пересмотр его безопасности. В качестве меры предосторожности команда Mozilla уже глобально заблокировала надстройку WebEx для Firefox, которая, похоже, также затронута. Если вы полагаетесь на WebEx, вы также можете использовать временную локальную программу вместо подключаемого модуля браузера для участия в совещаниях. Это Java-приложение. Например, на тестовой странице WebEx ниже оно отображается как «Запустите временное приложение, чтобы присоединиться к совещанию».

Magic WebEx URL позволяет выполнять произвольные удаленные команды. Мастер безопасности Google делает это детской игрой даже для простых смертных: он анализирует неизвестный протокол всего за несколько шагов, обнаруживает зияющую дыру в безопасности и вызывает на рабочем столе калькулятор, чтобы подтвердить это.

Подчеркивается, что поставляемая в настоящее время версия 1.0.5 содержит дополнительные улучшения, которые еще больше затрудняют использование дыры в безопасности.