TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Tavis Ormandy นักวิเคราะห์ด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาเตือนภัยถึงช่องโหว่บน Cisco WebEx Extension ที่ติดตั้งบน Google Chrome ส่งผลให้ผู้ใช้ระบบปฏิบัติการ Windows กว่า 20 ล้านคนอาจถูกโจมตีแบบ Remote Code Execution เมื่อเข้าถึงเว็บไซต์อันตรายที่แฮ็คเกอร์เตรียมไว้ได้
Ormandy ระบุว่า สิ่งที่แฮ็คเกอร์จำเป็นต้องรู้เพื่อโจมตี WebEx Extension คือ “URL เวทมนตร์” ลับที่ซ่อนอยู่ใน WebEx หรือแท้ที่จริงแล้วอาจเรียกได้ว่าเป็น Backdoor นั่นเอง เช่น “cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html” เมื่อผู้ใช้เข้าถึงเว็บไซต์ที่มี URL ดังกล่าวประกอบอยู่ โดยเฉพาะอย่างยิ่งผ่านทาง iframe ซึ่งไม่แสดงผลให้ผู้ใช้เห็น จะทำให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution บนอุปกรณ์ของผู้ใช้ได้ทันที ซึ่ง Ormandy ทำการทดสอบโดยเจาะระบบผ่านทาง Native Messaging System ของ Google Chrome เพื่อรัน Library ภาษา C และ Windows System Calls ได้ประสบผลสำเร็จ
There was a secret URL in WebEx that allowed any website to run arbitrary code. ¯\_(ツ)_/¯ https://t.co/sAqZrDN4ad
— Tavis Ormandy (@taviso) January 23, 2017
Ormandy ยังทำการ POC ด้วยการสั่งรันโปรแกรมเครื่องคิดเลข calc.exe บน Windows ซึ่งแสดงให้เห็นว่า แฮ็คเกอร์สามารถอาศัยช่องโหว่นี้ เพื่อล่อให้คนเข้าถึงเว็บไซต์อันตรายแล้วทำการลอบแพร่กระจายมัลแวร์เข้าสู่เครื่องคอมพิวเตอร์ที่มี WebEx Extension ได้
Ormandy ได้รายงานช่องโหว่ไปยัง Cisco ซึ่งก็ได้ออกแพทช์ WebEx Extension เวอร์ชัน 1.0.3 เพื่อแก้ไขปัญหาดังกล่าว แต่ Filippo Valsorda นักวิจัยด้านการเข้ารหัสข้อมูลจาก CloudFlare กลับออกมาบอกว่าแพทช์ที่ออกมานี้ยังไม่สมบูรณ์ เนื่องจากถ้าใช้โดเมนและโดเมนย่อยของ webex.com ก็ยังคงถูกโจมตีได้อยู่ดี
อัปเดต: Cisco อัปเดตแพทช์ล่าสุดอีกครั้ง เป็นเวอร์ชัน 1.0.5 สำหรับอุดช่องโหว่ดังกล่าว
ที่มา: https://www.theregister.co.uk/2017/01/23/webex_hid_url_for_remote_command_execution/ และ https://www.helpnetsecurity.com/2017/01/24/cisco-webex-chrome/
