captura de tela promocional do aplicativo de videoconferência colaborativa.

até quarta-feira, uma única mensagem de texto enviada pelo aplicativo Jabber collaboration da Cisco foi necessária para interromper um ataque de autorreplicação que espalharia malware de um usuário do Windows para outro, disseram pesquisadores que desenvolveram o exploit.

o ataque wormable foi o resultado de várias falhas, que a Cisco corrigiu na quarta-feira, na estrutura incorporada do Chromium que forma a base do cliente Jabber. Um filtro projetado para bloquear conteúdo potencialmente malicioso em mensagens recebidas falhou em examinar o código que invocou uma interface de programação conhecida como “onanimationstart.”

saltando por aros

mas mesmo assim, o filtro ainda bloqueava o conteúdo que continha< style >, uma tag HTML que precisava ser incluída em uma carga útil maliciosa. Para contornar essa proteção, os pesquisadores usaram código que foi adaptado a um componente de animação embutido chamado spinner-grow. Com isso, os pesquisadores conseguiram obter uma exploração de script entre sites que injetou uma carga maliciosa diretamente nos internos do navegador embutido no Jabber.

uma sandbox de segurança embutida na estrutura incorporada do Chromium, ou CEF, normalmente armazenaria a carga útil em um contêiner isolado de partes sensíveis do aplicativo. Para contornar essa restrição, os pesquisadores abusaram da janela.CallCppFunction, que é projetado abrir arquivos enviados por outros usuários do Cisco Jabber. Ao manipular um parâmetro de função que aceita arquivos, os pesquisadores conseguiram sair da caixa de areia.

ver mais

“como o Cisco Jabber suporta transferências de arquivos, um invasor pode iniciar uma transferência de arquivo contendo um malicioso .EXE e Forçar a vítima a aceitá-lo usando um ataque XSS”, escreveram pesquisadores da Empresa de segurança Watchcom Security em um post. “O atacante pode então acionar uma chamada para a janela.CallCppFunction, fazendo com que o arquivo malicioso seja executado na máquina da vítima.”Worms de computador estão entre os tipos mais potentes de ataque de malware porque um único ataque pode tocar uma cadeia de danos de acompanhamento, na maior parte do caminho derrubar um dominó faz com que milhares de dominós atrás dele caiam. Quando o ataque wormable atinge a execução remota de código—como é o caso aqui-os worms são os mais graves. As correções da Cisco vêm à medida que mais empresas confiam na videoconferência para realizar o trabalho diário.

consequentemente, CVE-2020-3495, a designação atribuída à vulnerabilidade Cisco Jabber, tem uma classificação de gravidade de 9,9 de um máximo de 10 com base no sistema comum de pontuação de vulnerabilidade. A assessoria da Cisco tem mais detalhes aqui.

mais execução de código

os pesquisadores da Watchcom criaram um ataque de execução de código separado que explorava uma vulnerabilidade diferente. Esse funcionou abusando dos manipuladores de Protocolo Cisco Jabber, que ajudam o sistema operacional a saber o que fazer quando um usuário clica em um URL contendo um protocolo específico do Jabber.

os pesquisadores explicaram:

esses manipuladores de Protocolo são vulneráveis à injeção de comando porque não consideram URLs que contenham espaços. Ao incluir um espaço no URL, um invasor pode injetar sinalizadores de linha de comando arbitrários que serão passados para o aplicativo. Como o aplicativo usa CEF e aceita sinalizadores de linha de comando do Chromium, existem vários sinalizadores que podem ser usados para executar comandos arbitrários ou carregar DLLs arbitrárias. Um exemplo desse sinalizador é — GPU-launcher. Este sinalizador especifica um comando que será executado quando o processo da GPU CEFs for iniciado.

esta vulnerabilidade pode ser combinada com a vulnerabilidade XSS para obter execução de código sem transferir nenhum arquivo para a vítima. Isso torna possível entregar malware sem gravar nenhum arquivo no disco, ignorando a maioria dos softwares antivírus.

o vídeo abaixo demonstra o exploit de prova de conceito que eles desenvolveram.

Cisco Jabber Exploit Demo-descoberto pelo Grupo de segurança Watchcom.

CVE-2020-3430 carrega uma pontuação de gravidade de 8,8.

duas outras vulnerabilidades-CVE-2020-3537 e CVE-2020-3498—ter classificações de gravidade de 5,7 e 6,5, respectivamente.

anúncio

as vulnerabilidades afetam o Cisco Jabber para as versões 12.1 a 12.9.1 do Windows. As pessoas que usam versões vulneráveis devem atualizar o mais rápido possível.

Deixe uma resposta

O seu endereço de email não será publicado.