Menü
Alert!
Security

Sicherheitsupdate: Gefährliche Lücke in Cisco Webex Meetings

Angreifer könnten den Update-Mechanismus von Webex missbrauchen, um eigenen Code auszuführen. Ein Sicherheitsupdate schließt die Schwachstelle.

vorlesen Drucken Kommentare lesen 44 Beiträge
Sicherheitsupdate: Gefährliche Lücke in Cisco Webex Meetings

Ciscos Videokonferenzsoftware Webex Meetings ist unter Windows angreifbar. Nutzen Angreifer die Sicherheitslücke mit der Kennung CVE-2018-15442 aus, sollen sie ohne viel Vorarbeit Befehle mit Systemrechten ausführen können.

Obwohl das Ergebnis eines erfolgreichen Angriffes verheerend ist, gilt die Schwachstelle nicht als kritisch. In einer Sicherheitswarnung stuft Cisco den Bedrohungsgrad als "hoch" ein, weil eine Attacke nur lokal und am System angemeldet möglich sein soll. Angriffe aus der Ferne sind aber dennoch vorstellbar, beispielsweise wenn in einer Active-Directory-Umgebung Fernwartungstools von Windows aktiv sind.

Der Ansatzpunkt für Angreifer liegt in dem automatisch mit Webex installierten Windows-Service "WebexService". Dieser ist für Updates zuständig und läuft mit Systemrechten. Mit wenig Aufwand konnten Sicherheitsforscher von Counter Hack den Service dazu bringen, statt des Updatesprozesses den Windows-Taschenrechner zu öffnen.

Angreifer könnten so mit wenigen Befehlen direkt an den WebexService – der Service lauscht auf keinem Port – eigenen Code mit Systemrechten starten und so Computer im schlimmsten Fall übernehmen. Tief gehende Infos zur Lücke haben die Sicherheitsforscher in einem Blog-Beitrag zusammengetragen.

Auf einer eigens für die Webexec getaufte Schwachstelle erstellten Website findet man Infos zu bedrohten Versionen und Patches. Dort gibt es auch Tests, ob Systeme für Attacken dieser Art anfällig sind, und Exploit-Code. Die Cisco Webex Meetings Desktop App 33.6.0 ist abgesichert, alle vorigen Ausgaben sollen verwundbar sein. Auch Cisco Webex Productivity Tools 32.6.0 bis 33.0.5 sind bedroht.

Nach einem Update führt WebexService nur noch von Cisco signierte Dateien aus. Die Sicherheitsforscher warnen aber davor, dass selbst nach dem Aktualisieren noch jeder Nutzer mit einem Account den Service starten kann. Als Gegenmittel präsentieren sie den Befehl:

c:\> sc sdset webexservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPLORC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) (des)