Cisco ha encontrado un error de seguridad que afecta a su aplicación de escritorio virtual Webex Meetings para Windows. Dado que esta es una de las principales opciones empresariales para las reuniones de video en línea, el producto probablemente esté obteniendo un uso aún mayor debido al trabajo remoto a medida que la pandemia COVID-19 avanza en todo el mundo.
Cisco advirtió que el error en la aplicación de escritorio Webex Meetings para Windows es una falla de seguridad de gravedad alta. Sin embargo, solo se puede aprovechar cuando la aplicación de escritorio Webex Meetings se encuentra en un entorno de escritorio virtual alojado (HVD – Hosted Virtual Desktop) y está configurada para usar el complemento de escritorio virtual de Cisco Webex Meetings para clientes ligeros. Para poder explotar CVE-2020-3588, la aplicación de escritorio de Webex debe de estar hosteada en HVD y configurado para que use su plug-in para clientes livianos. Cisco advierte que los usuarios deben actualizar la aplicación afectada en HVD en el entorno del escritorio virtual. El plug-in no necesita actualizarse.
La falla puede permitir que un atacante ejecute código arbitrario en un sistema objetivo con los privilegios del usuario objetivo. «Un exploit exitoso podría permitirle al atacante modificar la configuración del sistema operativo subyacente, lo que podría permitirle ejecutar código arbitrario con los privilegios de un usuario objetivo», explica Cisco en su aviso.
Un factor atenuante es que la vulnerabilidad solo puede ser explotada por un atacante local con privilegios limitados que haya enviado un mensaje malicioso al software afectado mediante el uso de la interfaz del canal de virtualización. No obstante, Cisco le ha dado al error, registrado como CVE-2020-3588, una calificación de gravedad de 7.3 de 10. El error se ha corregido en la aplicación de escritorio Webex Meetings para Windows, versiones 40.6.9 y posteriores y 40.8.9 y posteriores.
El problema se debió a que la aplicación de escritorio validaba incorrectamente los mensajes. Cisco también señala que los clientes deben actualizar la aplicación afectada en el HVD en el entorno de escritorio virtual. Sin embargo, no es necesario actualizar el complemento.
Afortunadamente, el equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) no ha observado ningún ataque en la naturaleza y Cisco encontró el error durante las pruebas internas. Cisco también insta a los clientes a actualizar los sitios de Webex Meetings y Webex Meetings Server debido a las vulnerabilidades que afectan al reproductor de grabación en red de Webex para Windows y al reproductor de Webex para Windows.
Hay tres errores que se deben a que las aplicaciones de reproducción no hacen lo suficiente para validar los elementos de las grabaciones de Webex almacenadas en el formato de grabación avanzado (ARF), un formato de video para Webex, o el formato de grabación de Webex (WRF). Los errores se identificaron como CVE-2020-3573, CVE-2020-3603 y CVE-2020-3604. Tienen una clasificación de gravedad de 7,8.
Los atacantes pueden explotar las fallas enviando al objetivo para que abra un archivo ARF o WRF malicioso a través de un enlace o archivo adjunto de correo electrónico, y luego engañando al objetivo para que abra el archivo con los dos reproductores de Webex. Webex Network Recording Player se usa para reproducir archivos ARF, mientras que Webex Player se usa para reproducir archivos WRF.
Estos defectos, fueron encontrados por el investigador de seguridad Francis Provencher (PRL), quien informó el problema a Cisco a través de la iniciativa Zero Day de Trend Micro. Cisco señala que no hay soluciones para este error y ha enumerado en su aviso las versiones de los sitios de Webex Meetings y Webex Meetings Server que deben actualizarse.
Fuente y redacción: ZDNet