受益於居家辦公需求的視訊平臺安全性受到放大檢視。安全研究人員最近揭露,思科視訊會議WebEx Meetings Windows桌機版應用程式存在漏洞,可能讓駭客取得驗證用的符記、用戶名稱,進而存取視訊會議內容及密碼。而預設自動登入WebEx將提升資訊外洩風險。思科已經將漏洞修補完成。

編號CVE-2020-3347的漏洞是由安全廠商TrustWave研究人員Martin Rakhmanov於4月發現,影響WebEx Meetings Windows 桌機版App 40.4.12.8版。

漏洞出在WebEx Meetings Windows版用戶端程式包含的資訊外洩所致。WebEx Meetings app內有多個對應於Windows 記憶體的檔案(稱為sections檔),卻未設定防止其他Windows用戶讀寫的防護。其中一個sections檔包含一些追蹤資訊,包括用戶登入的電子郵件帳號及主持會議的URL,攻擊人士一旦登入機器就可以讀取。另一方面,WebEx Meetings 啟動會議時,這個檔還會包含WebExAccess Token(驗證符號),讓他人可冒充使用者存取WebEx帳號。如果WebEx app設定(WebEx預設的)自動登入,則這些資訊就會讓登入PC的攻擊者全數取得。

研究人員也示範了他設計的概念驗證(POC)攻擊程式,如何在WebEx啟動會議時讀取這些資訊,並成功從另一臺機器、不同IP位置上控制受害者的WebEx帳號,不但能看到所有會議、會議密碼以及所有獲邀的與會者,也能讀取/編輯Meetings及下載會議錄影。

思科也在本周發出安全公告並釋出最新版本的WebEx Meetings Desktop App for Windows  40.6.0,也呼籲用戶儘速升級。思科表示尚未發現有任何使用此一漏洞的惡意行為。

熱門新聞


Advertisement