Nouvelle vulnérabilité Cisco WebEx : it’s a kind of magic !

0

Que vous préférez Internet Explorer, Google Chrome, Opera, Mozilla Firefox ou Safari, lorsqu’il s’agit de navigateurs Web les options sont nombreuses. Ces outils incontournables de notre quotidien numérique sont désormais bien plus qu’une simple application affichant une page web. Ils ont désormais la possibilité de remplacer d’autres outils grâce à un atout majeur : les extensions.

En effet, les extensions et plugins permettent aux développeurs web d’étendre les fonctionnalités d’un navigateur. Cela peut aller d’un menu d’options supplémentaires à une nouvelle barre de recherche, ou encore une amélioration des outils internes au navigateurs.

Il faut cependant parfois se montrer raisonnable sur les extensions…

Malheureusement, ces extensions ne sont pas exemptes de toutes défaut. Elles ont très souvent accès à des éléments sensibles du navigateur et ainsi du système. Derrière leur aspect de module inoffensif rendant votre navigateur si unique à coté de celui de vos amis, ces plugins sont à considérer avec la plus grande méfiance.

Le cas récent de Cisco WebEx en est un parfait exemple. La semaine dernière, Tavis Ormandy de Google Project Zero, a identifié et analysé la vulnérabilité CVE-2017-3823, visant l’extension de navigateur Cisco WebEx.

WebEx est un outil d’organisation d’événements en ligne (que ce soient des réunions, des webinaires ou des vidéoconférences). Utilisé par plus de 20 millions de personnes dans le monde, le service WebEx fourni par Cisco est confronté désormais à un problème de sécurité critique, qui permettrait aux pirates informatiques d’exécuter du code à distance sur les machines compromises.

À l’heure actuelle, nous ne savons pas si ce bug est exploité de manière active. Mais il est fort probable que vous êtes exposés au risque si votre organisation utilise WebEx car cette vulnérabilité se retrouve dans les extensions de navigateur pour Cisco WebEx Meetings Server et Cisco WebEx Meetings Center. En outre, selon Cisco, les navigateurs suivants sont concernés : Internet Explorer, Chrome et Firefox, seulement sur les systèmes d’exploitation Windows. Cependant, Microsoft Edge et les écosystèmes Mac ou Linux sont épargnés.

La dernière mise à jour publiée par Cisco (1.0.7) est disponible sur le site officiel du service WebEx, elle fournit un correctif uniquement pour les utilisateurs de Google Chrome. Sur la page officielle de sécurité de Cisco, un patch pour Firefox et Internet Explorer est toujours attendu. Comme cette première mise à jour ne semble pas être complet complète, Google et Mozilla ont décidé de supprimer temporairement l’add-on Cisco WebEx de leurs boutiques d’applications.

Encore une URL malveillante…

Sur les systèmes d’exploitation Windows, l’extension WebEx utilise l’API de NativeMessaging afin de communiquer avec les applications natives installées sur le système. Afin de pouvoir être utilisée via le NativeMessaging, l’application native doit déclarer un fichier manifeste, déclarant les modalités de la communication (voir schéma).

 Source : Red Hat Enterprise Linux

Lors de l’analyse de l’extension WebEx pour Chrome, Tavis Ormandy a remarqué qu’elle peut être déclenché à partir d’un lien contenant la chaîne magique[1] :

cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html

Ce magic string peut être retrouvé dans le fichier manifeste dont nous avons parlé tout à l’heure. Un attaquant qui arrive à convaincre l’utilisateur de suivre un tel lien, peut ensuite exécuter du code sur la machine infectée avec les mêmes privilèges que l’utilisateur dupé (voir ici comment). Il peut alors déclencher l’exécution d’un programme Windows sans aucune demande d’autorisation. C’est ce que l’on appelle une faille d’exécution de code à distance (ou ‘remote code execution’ en anglais), un vecteur très utilisé dans la diffusion de maliciels (lire notre précédent article Nouvelle vulnérabilité Windows : Oh My Kernel!).

Cisco a tenté de rapidement corriger la vulnérabilité en limitant l’URL soi-disant « magique » aux domaines https://*.webex.com et https://*.webex.com.cn. Le correctif a été largement critiqué car il ne fournit qu’une solution partielle. Effectivement, les hackers peuvent toujours activer l’URL piégé en exploitant une autre faille, cette fois ci concernant webex.com, de type XSS.

NDLR : Les attaques menées à l’aide des vulnérabilités de cross-site scripting (XSS) sont un type d’attaque par injection. Des scripts malveillants sont injectés dans des sites Web autrement bénins. Les attaques XSS se produisent lorsqu’un attaquant utilise une application Web pour envoyer un code malveillant (ou un payload malveillant), généralement sous la forme d’un script, à l’utilisateur final. Le navigateur exécutera le script sans question car il le percevra comme provenant d’une source fiable. Le script malveillant peut ensuite accéder aux cookies, jetons de session ou informations sensibles conservées par le navigateur. Ces scripts peuvent même réécrire le contenu de la page HTML. Source : OWASP

Les représentants de Mozilla ont exprimé leur mécontentement en ce qui concerne le correctif fourni par Cisco et n’ont pas hésité à critiquer son service. « Si je suis un adversaire et que je peux trouver une seule faille de type XSS sur ce domaine, tout ce que je dois faire est d’intercepter une requête HTTP sortante de Chrome, insérer une redirection 302 et j’arrive à exécuter mon code sur qui sait combien de machines », a déclaré April King, ingénieur de sécurité informatique chez Mozilla.

Notoriété = sécurité ?

Quand il faut choisir le meilleur navigateur Web, la plupart des gens choisissent en fonction de la facilité et de la flexibilité du logiciel, en ignorant souvent le facteur sécurité.

Selon CVE Details, Google Chrome est le navigateur le plus utilisé en 2016, mais il comportait également le plus important nombre de failles en sécurité l’an dernier : 172 vulnérabilités ont été dénombrées, contre seulement 56 pour Apple Safari. Avec 133 failles révélées, Firefox arrive en 3ème position des navigateurs les plus touchés en 2016.

Source : Statista

Alors, que faire si vous ne voulez pas changer de navigateur ?

La situation n’est pas désespérée : les utilisateurs peuvent opter tout simplement pour la désactivation (temporaire) du plugin Cisco WebEx afin d’empêcher son activation inopinée.

Toutefois, il existe des outils qui permettent de filtrer le trafic web et de bloquer l’accès à tout type d’URL contenant la chaîne magique responsable de l’activation de l’extension WebEx :

cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html

Bien que cela fournit une couche supplémentaire de protection, il faut garder à l’esprit que le blocage pour tous les utilisateurs de la chaîne magique à l’aide d’un filtre Web empêchera également les navigateurs sur Mac et Linux, ainsi que le navigateur Edge sur Windows de se connecter à WebEx. Si WebEx fait partie de la vie quotidienne de votre entreprise, cela ne résoudra pas tous vos problèmes.

UPDATE : Le patch attendu pour les extensions Cisco WebEx compatibles avec Internet Explorer et Firefox ont été mises en ligne le 4 février sur le site officiel de Cisco.

[1] Une chaîne magique définit les données d’entrée d’un programme qui ont la capacité d’activer une fonctionnalité cachée. Source : Chris Falter (2008-03-06), « Egghead Cafe Tutorials »

Share.

About Author

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply