CVE-2020-3347漏洞分析

2020-06-28 6,737

Cisco WebEx是一个非常流行的视频会议解决方案。受疫情影响,用户明显增长。研究人员在WebEx中发现了一个严重的内存信息泄露漏洞。

CVE-2020-3347漏洞分析

研究人员在Cisco Webex Meetings Windows客户端40.4.12.8版本进行了测试。

image.png

应用安装后,会添加一个tray app,当用户登陆会启动trap app和一些依赖的进程。如果用户将客户端配置未自动登陆,那么就会进行如下的动作。

客户端有多个打开的内存映射文件,其中部分是受保护的,其他Windows 用户没有读写权限。其中有一个session为:

\Sessions\\BaseNamedObjects\WBXTRA_TRACE_FILE_EX

image.png

根据文件名,可以看出有一些痕迹信息。如果恶意用户可以登陆进入系统,那么就可以打开和复制文件的内容。简单来说,另一个用户可以在session之间循环,尝试打开、读取和保存想要的内容。

研究人员发现该文件中含有以下敏感信息:

  • 登陆用的邮箱账号;

  • 用来举办会议的URL。

当用户开始会议时,trace文件就会含有一个WebExAccessToken,允许任意用户模仿该用户和获取WebEx 账号的访问权限。

在PoC程序中,一旦受害者打开会议,复制的文件就会包含以下内容:

image.png

攻击者只需要从复制的文件中抓取Bearer token,并用在下面的HTTP POST请求中:

curl -d @get_token.xml -O https://homeabc.my.webex.com/WBXService/XMLService

get_token.xml文件内容如下所示:

<?xml version="1.0"?>
<serv:message xmlns:serv="http://www.webex.com/schemas/2002/06/service"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<header>
<securityContext>
<webExID>user@host.name</webExID>
<partnerID>PT</partnerID>
<siteName>home-abc.my</siteName>
<clientInfo>CiscoWebexMeetings-Win/40.6.2</clientInfo>
<webExAccessToken>
eyJhbGci...
</webExAccessToken>
</securityContext>
</header>
<body>
<bodyContent xsi:type="java:com.webex.service.binding.user.GetLoginTicket"></bodyContent>
</body>
</serv:message>

会有一个一次性的登陆ticket作为响应:

image.png

下一步就是在浏览器中打开下面的URL 来控制受害者账号:

https://home-abc.my.webex.com//home-abc.my/mywebex/tool/frame/mywebexframe.php?MWAT=mw&strUserName=user%40host.name&TK=b30866fa388c26cf5efda0cd6dfee20b8a60163123bddcbfafb46c54700f2448&UTF8=1&SubMenu=PTPMR

红色的token来自于上面的SOAP 请求,该请求使用了复制的文件中的WebAccessToken

image.png

攻击者利用泄露的信息可以从不同IP 地址的另外一个及其访问受害者账号。攻击者还可以看到室友的会议信息和参加口令,下载过去的会议记录等。下面是一个完整的攻击,PoC代码将在近日公布,PoC视频如下所示:

https://player.vimeo.com/video/430344704

总结

在攻击场景中,任意的恶意本地用户或计算机上运行的恶意进程都可以监控登入token的内存映射文件。一旦发现token,泄露的信息就会被传递用于登陆到WebEx 账号、下载会议录制内容、查看和编辑会议等。研究人员建议用户尽快更新到 v40.6.0及更新版本。

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/cisco-webex-memory-for-the-taking-cve-2020-3347/


本文作者:ang010ela

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/134177.html

Tags:
评论  (0)
快来写下你的想法吧!

ang010ela

文章数:56 积分: 711

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号