• IT-Karriere:
  • Services:

Cisco: Mit dem Webex-Plugin beliebigen Code ausführen

Ciscos Webex-Infrastruktur wird weltweit von Unternehmen genutzt. Eine Sicherheitslücke im Chrome-Plugin der Anwendung hat Angreifern die Ausführung eines beliebigen Codes ermöglicht.

Artikel veröffentlicht am ,
Ciscos Webex-Extension für Chrome war verwundbar.
Ciscos Webex-Extension für Chrome war verwundbar. (Bild: Tavis Ormandy)

Ciscos Webex-Plugin für den Chrome-Browser hat eine kritische Schwachstelle und sollte umgehend gepatcht werden. Die Sicherheitslücke in dem Kommunikationsplugin wurde von Tavis Ormandy von Googles Project Zero gefunden. Webex wird nach Angaben von Cisco von rund 20 Millionen Menschen weltweit genutzt, die Sicherheitslücke lässt sich zum Beispiel durch eine Drive-By-Attacke über eine Webseite ausnutzen. Das Plugin wird automatisch auf den neuesten Stand gebracht, die aktuelle Versionsnummer ist 1.0.3.

Stellenmarkt
  1. CipSoft GmbH, Regensburg
  2. Helios IT Service GmbH, Berlin-Buch

Angreifer müssen dazu nur eine Datei oder eine andere Ressource hosten, die den String "cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html" enthält. Mit diesem "Magic Pattern" wird Webex in die Lage versetzt, eine Webex-Sitzung auf einem entfernten Rechner zu starten.

Nach Angaben von Ormandy kann dieses Kommando durch jede beliebige Webseite genutzt werden, um Sitzungen zu starten. Außerdem ermöglicht der Fehler die Ausführung eines beliebigen Codes. Der Angriff erfordert keine Nutzerinteraktion, der Code kann außerdem in einem iFrame versteckt werden, so dass der Benutzer davon nichts mitbekommt.

Patch nach zwei Tagen

Cisco hat die Sicherheitslücke nur zwei Tage nach der privaten Offenlegung durch Ormandy gepatcht. Nach Angaben des Sicherheitsforscher könnte der Patch aber unvollständig sein, weil Ciscos eigene Webseite webex.com weiterhin Sitzungen ohne Warnung starten kann. Würde diese Webseite zum Beispiel eine Schwachstelle für Cross-Site-Scripting (XSS) aufweisen, könnte ein Angreifer nach wie vor einen Code einschleusen. Nach Angaben von Cisco werden regelmäßig Audits und Zertifizierungen von Webex durchgeführt.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Außerdem, so schreibt der Sicherheitsforscher Filippo Valsorda, sei die durch den Patch eingeführte Warnmeldung nicht verständlich und schütze nicht vor einem bösartigen Angriff. Tatsächlich erscheint nur eine Warnung, die Nutzer auffordert, den Beginn einer Webex-Sitzung zu bestätigen. Als Vorsichtsmaßnahme schlägt Valsorda vor, in Chrome ein eigenes Profil nur für Webex anzulegen und die Erweiterung für den normalen Nutzer zu entfernen.

Nachtrag vom 25. Januar 2017, 10:07 Uhr

Cisco hat uns auf Anfrage folgendes Statement zukommen lassen: "Cisco untersucht gerade alle Aspekte der Schwachstelle in der Cisco WebEx Browser Extension Remote Code-Ausführung. Am 24. Januar 2017 haben wir eine Sicherheitsanweisung herausgegeben, um dieses Problem anzugehen. Wir haben bereits damit begonnen, mehrere Fixes für die betroffenen Versionen zu veröffentlichen und wir werden weiterhin zusätzliche Updates bereitstellen, sobald sie in den kommenden Tagen verfügbar sind." Aktuelle Entwicklungen werden im Security Advisory dokumentiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 7,99€
  2. für PC, PS4/PS5, Xbox und Switch
  3. (u. a. Angebote zu Spielen, Gaming-Monitoren, PC- und Konsolen-Zubehör, Gaming-Laptops uvm.)

TheSaint 24. Jan 2017

wird in dem Artikel von Filippo beschrieben. chrome://extensions/ aufrufen -> Developer...

egal 24. Jan 2017

Ob man diesem (amerikanischen) Unternehmen noch trauen mag, muss jeder für sich selbst...

hg (Golem.de) 24. Jan 2017

Oh, da bin ich wohl Mausgerutscht ;) Danke für den Hinweis, ist gefixt. VG,


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /