Os pesquisadores Ron Bowes e Jeff McJunkin, da organização Counter Hack, descobriram uma falha bem grave na plataforma WebEx, da Cisco, uma das plataformas de comunicação multimídia mais utilizadas no mundo pelas empresas.
A falha foi chamada de WebExec, e é uma vulnerabilidade bastante exclusiva. Isso porque é uma vulnerabilidade remota, em um aplicativo cliente que nem sequer escuta em uma porta.
Ela acontece assim: quando o cliente WebEx é instalado, ele instala também um serviço do Windows chamado WebExService que pode executar comandos privilegiados à vontade (arbitrários) no nível do sistema. Devido a ACLs (access control lists) deficientes, qualquer usuário local ou de domínio pode iniciar o processo pela interface de serviço remoto do Windows (exceto no Windows 10, que exige um login de administrador).
A vulnerabilidade foi descoberta em de Julho deste ano mas só em 6 de Agosto ficou comprovado que ela era explorável remotamente. No mesmo dia o fato foi informado ao PSIRT (product security incident response team) da Cisco. O conserto do Webex Meetings Desktop saiu nas versões 33.5.6 e 33.6.0.
Os detalhes técnicos estão disponíveis no blog do Ron e no comunicado da Cisco.
Quem quiser checar a vulnerabilidade com o Nmap pode usar este script:
nmap –script smb-vuln-webexec –script-args ‘smbusername=testuser,smbpass=testuser,vulns.showall’ -p139,445 -d <target>
Se o WebEx estiver vulnerável a resposta do Nmap será assim:
PORT STATE SERVICE REASON 445/tcp open microsoft-ds syn-ack | smb-vuln-webexec: | VULNERABLE: | Remote Code Execution vulnerability in WebExService | State: VULNERABLE | IDs: CVE:CVE-2018-15442 | Risk factor: HIGH | A critical remote code execution vulnerability exists in WebExService (WebExec). | Disclosure date: 2018-10-24 | References: | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15442 | https://blog.skullsecurity.org/2018/technical-rundown-of-webexec |_ https://webexec.org