Salgsfremmende skjermbilde av samarbeidende videokonferanseapp.

Inntil onsdag var en enkelt tekstmelding sendt gjennom Ciscos jabber-samarbeidsprogram alt det tok å berøre et selvrepliserende angrep som ville spre skadelig programvare fra En Windows-bruker til en annen, sa forskere som utviklet utnyttelsen.

det ormbare angrepet var resultatet av flere feil, Som Cisco lappet på onsdag, i Chromium Embedded Framework som danner grunnlaget For Jabber-klienten. Et filter som er utformet for å blokkere potensielt skadelig innhold i innkommende meldinger, kunne ikke granske kode som startet et programmeringsgrensesnitt kjent som » onanimationstart.»

hopper gjennom hoops

Men selv da blokkerte filteret fortsatt innhold som inneholdt < stil>, EN HTML-kode som måtte inkluderes i en ondsinnet nyttelast. For å omgå den beskyttelsen brukte forskerne kode som var skreddersydd for en innebygd animasjonskomponent kalt spinner-grow. Med det var forskerne i stand til å oppnå en cross-site scripting exploit som injiserte en ondsinnet nyttelast direkte inn i internals av nettleseren innebygd I Jabber.

en sikkerhets sandkasse innebygd I Chromium Embedded Framework, ELLER CEF, vil normalt lagre nyttelasten i en beholder som er isolert fra følsomme deler av appen. For å omgå denne begrensningen, misbrukte forskerne vinduet.CallCppFunction, som er designet for å åpne filer sendt av Andre Cisco jabber brukere. Ved å manipulere en funksjonsparameter som aksepterer filer, kunne forskerne bryte ut av sandkassen.

Se mer

«Siden Cisco jabber støtter filoverføringer, kan en angriper starte en filoverføring som inneholder en ondsinnet .exe-filen og tvinge offeret til å akseptere det ved HJELP AV ET XSS-angrep, » skrev forskere fra sikkerhetsfirmaet Watchcom Security i et innlegg. «Angriperen kan da utløse et anrop til vindu.CallCppFunction, forårsaker ondsinnet fil som skal utføres på offerets maskin.»

dataormer er blant de mest potente typer malware angrep fordi en enkelt streik kan berøre av en kjede av oppfølging skade, i mye måten velte en domino fører tusenvis av dominos bak det å falle. Når det wormable angrepet oppnår ekstern kjøring av kode—som det er tilfelle her—er ormer de mest alvorlige. Rettelser fra Cisco kommer etter hvert som flere bedrifter stoler på videokonferanser for å utføre det daglige arbeidet.

følgelig HAR Cve-2020-3495, betegnelsen som er tildelt Cisco jabber-sårbarheten, en alvorlighetsgrad på 9,9 av maksimalt 10 basert på Det Vanlige Sårbarhetsscoringssystemet. Ciscos rådgivende har flere detaljer her.

mer kjøring av kode

Watchcom-forskerne utviklet et eget kodekjøringsangrep som utnyttet et annet sikkerhetsproblem. Den ene jobbet ved å misbruke Cisco Jabber-protokollbehandlere, som hjelper operativsystemet til å vite hva de skal gjøre når en bruker klikker på EN URL som inneholder En Jabber-spesifikk protokoll.

forskerne forklarte:

disse protokollbehandlere er sårbare for kommando injeksjon fordi de ikke klarer å vurdere Nettadresser som inneholder mellomrom. Ved å inkludere et mellomrom I URL-ADRESSEN, kan en angriper injisere vilkårlig kommandolinjeflagg som vil bli sendt til programmet. Siden programmet bruker CEF og aksepterer Chromium kommandolinjeflagg, finnes det flere flagg som kan brukes til å utføre vilkårlige kommandoer eller laste vilkårlige Dller. Et eksempel på et slikt flagg er-GPU-launcher. Dette flagget angir en kommando som skal utfores nar CEFs GPU-prosessen er startet.

dette sikkerhetsproblemet kan kombineres MED xss-sikkerhetsproblemet for å oppnå kjøring av kode uten å overføre filer til offeret. Dette gjør det mulig å levere malware uten å skrive noen filer til disk, og dermed omgå de fleste antivirusprogramvare.

videoen nedenfor viser proof-of-concept utnytte de utviklet.

Cisco Jabber Exploit Demo-oppdaget av Watchcom Security Group.

CVE-2020-3430 har en alvorlighetsgrad på 8,8.

To andre sikkerhetsproblemer-CVE-2020 – 3537 OG CVE-2020-3498—har alvorlighetsgrad på henholdsvis 5,7 og 6,5.

Annonse

sikkerhetsproblemene påvirker Cisco Jabber For Windows-versjoner 12.1 til 12.9.1. Personer som bruker sårbare versjoner bør oppdatere så snart som mulig.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.