Ciscos Jabber-Client: Code-Ausführung per Chat-Nachricht

Cisco hat eine Sicherheitslücke in seinem Jabber-Client für Windows geschlossen. Diese hat Angreifern ermöglicht, per Textnachricht Code auszuführen.

Artikel veröffentlicht am , Anna Biselli
Cisco in Amsterdam
Cisco in Amsterdam (Bild: Diesmer Ponstein/flickr.com/CC-BY 2.0)

IT-Sicherheitsforscher des norwegischen Unternehmens Watchcom haben Sicherheitslücken in Ciscos Jabber-Client für Windows entdeckt. Eine von ihnen ermöglicht es Angreifern, durch Textnachrichten ohne Nutzerinteraktion Dateien auf dem Zielsystem auszuführen. Es stehen Updates zur Verfügung, die das Problem beheben.

Stellenmarkt
  1. Systems Engineer (w/m/d) System Simulation
    MBDA Deutschland GmbH, Schrobenhausen
  2. Mitarbeiter:in (d/m/w) für die Lehrentwicklung in der Pflegewissenschaft
    THD - Technische Hochschule Deggendorf, Deggendorf
Detailsuche

Laut Ciscos Security Advisory könnte ein Angreifer durch spezielle Nachrichten beliebige Dateien auf dem Rechner des betroffenen Nutzers ausführen, die bereits im Dateisystem des Angegriffenen vorhanden sind. In ihrem Demonstrationsvideo öffnen die Forscher von Watchcom etwa den Taschenrechner beim Nachrichtenempfänger.

Cisco greift auf eine Erweiterung für das XMPP-Protokoll zurück, die die Darstellung HTML-formatierter Nachrichten ermöglicht. Ciscos Anwendung blockierte dabei Cross-Site-Scripting-Angriffe durch schadhafte HTML-Nachrichten nicht ausreichend, wodurch sich Befehle über das "onanimationstart"-Event der "spinner-grow"-Animation einschleusen ließen.

Ausbruch aus der Sandbox

Außerdem nutzt Ciscos Jabber-Client das Chromium Embedded Framework (CEF). Code wird daher eigentlich in einer Sandbox des eingebetteten Browsers ausgeführt. Watchcom fand jedoch eine Funktion, die diese Sandbox umgeht. Cisco nutzte die Funktion "window.CallCppFunction" unter anderem dafür, dass Nutzer Dateien öffnen können. Kombiniert mit dem Cross-Site-Scripting ermöglichte das Angreifern, dass Dateien auf dem Zielsystem ohne weitere Nutzerinteraktion geöffnet werden konnten.

Golem Karrierewelt
  1. Deep Dive: Data Governance Fundamentals: virtueller Ein-Tages-Workshop
    22.02.2023, Virtuell
  2. IT-Sicherheit: (Anti-)Hacking für Administratoren und Systembetreuer: virtueller Drei-Tage-Workshop
    28.-30.06.2023, Virtuell
Weitere IT-Trainings

"Da Cisco Jabber Dateitransfers unterstützt, kann ein Angreifer eine Dateiübertragung initiieren, die eine bösartige .exe-Datei enthält, und das Opfer durch einen Cross-Site-Scripting-Angriff zwingen, diese zu akzeptieren", heißt es im Blog von Watchcom.

Durch ein weiteres Sicherheitsproblem beim Protokoll-Handling konnten die Sicherheitsforscher Befehle auf dem Rechner des Nachrichtenempfängers ausführen, ohne zuvor eine Datei zu übertragen. Dazu übertrugen sie in einem Link Kommandozeilen-Flags für Chromium, die im CEF ausgeführt wurden. Zusammen mit dem ersten Problem ließ sich auch hier die Interaktion mit dem Nutzer vermeiden, wie Watchcom in einem Video demonstriert.

Laut Watchcom entdeckten die Sicherheitsforscher das Problem bei einem Pentesting-Auftrag. Kommunikationslösungen wie Cisco Jabber würden immer attraktiver für Angreifer, teilte das Unternehmen mit. Die Anwendungen würden für den Austausch sensibler Informationen und von IT-Administratoren genutzt. "Die Sicherheit dieser Anwendungen ist daher von höchster Bedeutung, und es muss sichergestellt werden, dass sowohl die Anwendungen selbst als auch die Infrastruktur, die sie nutzen, regelmäßig auf Sicherheitslücken überprüft werden", betonte Watchcom.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Paramount+ im Test
Paramounts peinliche Premiere

Ein kleiner Katalog an Filmen und Serien, gepaart mit vielen technischen Einschränkungen. So wird Paramount+ Disney+, Netflix und Prime Video nicht gefährlich.
Ein Test von Ingo Pakalski

Paramount+ im Test: Paramounts peinliche Premiere
Artikel
  1. Sicherheit: FBI ist zutiefst besorgt über Apples neue Verschlüsselung
    Sicherheit
    FBI ist "zutiefst besorgt" über Apples neue Verschlüsselung

    Das FBI könnte mit Apples Advanced Data Protection seinen wichtigsten Zugang zu iPhones verlieren. Doch dafür muss die Funktion von Nutzern aktiviert werden.

  2. Ghost Story Games: Umstrittener Bioshock-Entwickler stellt Judas vor
    Ghost Story Games
    Umstrittener Bioshock-Entwickler stellt Judas vor

    Ken Levine (Bioshock) gilt als genialer Designer, aber als problematischer Chef. Nun hat er sein neues Actionspiel Judas vorgestellt.

  3. Open Data: GFF klagt gegen Bayern für freie Geodaten
    Open Data
    GFF klagt gegen Bayern für freie Geodaten

    Eine bayerische Behörde erstattete Anzeige gegen Journalisten und andere, die amtliche Geodaten veröffentlicht hatten. Die GFF klagt dagegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore -37% • Asus RTX 4080 1.399€ • PS5 bestellbar • Gaming-Laptops & Desktop-PCs -29% • MindStar: Sapphire RX 6900 XT 799€ statt 1.192€, Apple iPad (2022) 256 GB 599€ statt 729€ • Samsung SSDs -28% • Logitech Mäuse, Tastaturen & Headsets -53% [Werbung]
    •  /