思科Webex Meetings的新漏洞使攻击者能够窃取身份验证令牌

思科Webex Meetings的新漏洞使攻击者能够窃取身份验证令牌

Windows的Cisco Webex Meetings客户端中发现的一个新漏洞可能允许经过本地身份验证的攻击者访问敏感信息,包括用户名,身份验证令牌和会议信息。

Cisco Webex Meetings是用于安排和加入会议的视频会议和在线会议软件,支持演示,屏幕共享和录制。

Trustwave SpiderLabs安全研究经理Martin Rakhmanov  于4月23日报告称,作为CVE-2020-3347跟踪的信息泄露漏洞会影响40.6.0之前的Windows版Cisco Webex Meetings桌面应用程序。

通过共享内存公开的身份验证令牌

CVE-2020-3347是由于共享内存的不安全使用造成的,用于Windows的Cisco Webex Meetings桌面客户端用于与基础Windows操作系统和系统上的其他应用程序交换信息。

该共享内存空间可以存储高度敏感的信息,包括身份验证令牌,用户名和会议信息,这些信息可能会被恶意的本地用户或进程窃取,并随后用于登录受害者的WebEx帐户。

Rakhmanov发现,安全保护不当的跟踪文件包含用于登录的电子邮件帐户,用于主持会议的URL以及WebExAccessToken,这些信息可以被攻击者用来“假冒用户并获得对WebEx帐户的访问权限” 。”

Webex内存映射文件
Webex内存映射文件Trustwave

因此,可以将被盗的帐户用作将来攻击的一部分,或立即用于查看和编辑会议,下载会议记录等。

内存信息泄漏漏洞会影响已将Cisco Webex Meetings Windows应用配置为自动登录的系统-这是默认且最常见的配置。

下面嵌入了一个使用概念证明代码Trustwave的攻击场景的视频演示,该示例将在下周发布。

CVE-2020-3347缓解

目前,尚没有解决此信息泄露漏洞的已知解决方法,但思科已于2020年6月17日发布了免费软件更新以解决潜在问题。

思科在适用于Windows的Cisco Webex Meetings Desktop App 40.6.0及更高版本(锁定版本的39.5.26及更高版本)中修补了CVE-2020-3347

公告发布时,思科产品安全事件响应团队(PSIRT)不了解公共报告或对该漏洞的恶意使用。

Windows用户可以使用“ 更新Cisco Webex Meetings桌面应用程序帮助中心”文章中提供的说明来更新其客户端,而管理员可以使用《 Cisco Webex Meetings大规模部署IT管理员指南》详细介绍的过程为其用户更新应用程序。  

昨天,思科解决了另外两个严重的安全漏洞,这些漏洞影响了适用于Windows和macOS的Cisco Webex Meetings Desktop应用程序,这些漏洞可能允许无特权的攻击者在未修补的设备上运行任意代码和程序。

在2019年2月,思科还修复了适用于Windows的Cisco Webex Meetings Desktop App的更新服务中发现的特权升级漏洞,该错误可能使未经身份验证的本地攻击者提升特权并执行具有SYSTEM特权的任意命令。

 

*编译:Domino

*来自:bleepingcomputer