思科披露Webex会议Windows版远程命令执行漏洞

E安全11月9日讯 据外媒报道，思科(Cisco)发现了一个安全漏洞，会影响使用其Windows虚拟桌面应用Webex Meetings的远程员工。

Webex Meetings是企业与团队成员进行在线视频会议的主要选择之一，随着疫情在全球蔓延，由于远程工作，该产品的使用率可能会越来越高。

思科已经警告说，用于Windows的Webex Meetings Desktop应用程序中的漏洞是一个高度严重的安全漏洞。

不过，只有当Webex Meetings Desktop应用程序位于托管虚拟桌面(HVD)上的虚拟桌面环境中，并且配置为使用Cisco Webex Meetings虚拟桌面插件用于精简型电脑时，才能使用它。

该插件设计用于支持HVD用户，例如从个人计算机连接到公司网络的远程工作者。

据了解，该漏洞可能允许攻击者利用目标用户的特权在目标系统上执行任意代码。

思科在一份报告中解释道:“一个成功的攻击可以允许攻击者修改底层操作系统配置，从而允许攻击者以目标用户的特权执行任意代码。”

思科给出了这个漏洞的严重评级7.3分(满分10分)，被跟踪为CVE-2020-3588。

在Webex Meetings Desktop应用程序中，针对Windows版本40.6.9及更高版本和40.8.9及更高版本的bug得到了修复。

思科还指出，客户必须在虚拟桌面环境中更新HVD中受影响的应用程序。但是，插件不需要更新。

幸运的是，思科的产品安全事件响应小组(PSIRT)没有观察到任何外部攻击，思科在内部测试中发现了漏洞。

思科还敦促客户更新Webex Meetings 网站和Webex Meetings服务器，原因是Webex Windows网络录音播放器和Windows视频播放器存在漏洞。

有三个错误是由于回放应用程序没有对存储在高级录音格式(ARF)或Webex录音格式(WRF)中的Webex录音元素进行足够的验证。

bug被跟踪为CVE-2020-3573、CVE-2020-3603和CVE-2020-3604。他们的严重程度为7.8。

攻击者可以利用这些漏洞，通过链接或电子邮件附件发送目标打开一个恶意的ARF或WRF文件，然后用两个Webex播放器诱使目标打开该文件。

虽然思科的PSIRT还没有发现任何使用这些漏洞的恶意活动，但安全研究员弗朗西斯·普罗文cher (PRL)发现了这些漏洞，并通过趋势科技的零日倡议向思科报告了该问题。