Webex Meetings的漏洞具有高風險性,可讓駭客擴張權限,以系統權限執行任意程式。

圖片來源: 

Cisco

思科(Cisco)在上個月修補了Windows版的Cisco Webex Meetings桌面程式的安全漏洞,該編號為CVE-2018-15442的安全漏洞可用來擴張權限,允許駭客執行任意程式,不過,專精於身分認證的資安業者SecureAuth發現該修補並不完全,使得思科於本周二(11/27)重新修補了一次。

CVE-2018-15442漏洞源自於Webex Meetings程式沒能充份驗證使用者所提供的參數,駭客只要利用精心打造的引數來調用更新服務命令就能開採,將允許已通過認證的用戶擴張權限,以系統權限執行任意程式。

雖然思科已在上個月修補該漏洞,但SecureAuth卻發現可透過DLL挾持繞過該修補程式,只要將一個由WebEx所簽署的ptUpdate.exe複製到駭客的管理員文件夾中,再建立一個含有惡意程式的DLL,便同樣能夠執行服務控制命令與惡意程式。

思科則坦承,在接獲額外的攻擊手法之後,確認上個月的修補不夠充份,因而開發了新的修補程式,該漏洞影響Webex Meetings Desktop App 33.6.4之前的版本,以及Cisco Webex Productivity Tools 32.6.0~33.0.6版。


Advertisement

更多 iThome相關內容