Technologie : Cisco a corrigé des failles de sécurité critiques dans Cisco Webex Meetings pour Windows et ses applications d’enregistrement de streams vidéo.
Cisco a découvert une faille de sécurité qui touche les machines des télétravailleurs qui utilisent son application de bureau virtuel Webex Meetings pour Windows. Le produit Webex Meetings étant l’une des principales options de l’entreprise pour les réunions vidéo en ligne, il est probable qu’il soit de plus en plus utilisé en raison de la mise en place massive du télétravail.
Cisco avertit que l’application de bureau pour Windows Webex Meetings comporte une faille de sécurité critique. Toutefois, elle ne peut être exploitée que lorsque cette application est dans un environnement de bureau virtuel sur un bureau virtuel hébergé (HVD – hosted virtual desktop) et configuré pour utiliser le plug-in de bureau virtuel Cisco Webex Meetings pour les clients légers. Le plug-in est conçu pour prendre en charge les utilisateurs de HVD, comme les travailleurs à distance qui se connectent à un réseau d’entreprise à partir d’un ordinateur personnel.
La faille peut permettre à un attaquant d’exécuter un code arbitraire sur un système ciblé avec les privilèges de l’utilisateur ciblé. « Un exploit réussi pourrait permettre à l’attaquant de modifier la configuration du système d’exploitation sous-jacent, ce qui pourrait lui permettre d’exécuter du code arbitraire avec les privilèges d’un utilisateur ciblé », explique Cisco. Un facteur atténuant est que la vulnérabilité ne peut être exploitée que par un attaquant local ayant des privilèges limités et qui a envoyé un message malveillant au logiciel concerné en utilisant l’interface du canal de virtualisation.
Néanmoins, Cisco a attribué à la faille, répertoriée sous le numéro CVE-2020-3588, une note de gravité de 7,3 sur 10. Elle a été corrigée dans l’application de bureau pour Windows, dans les versions 40.6.9 et ultérieures et 40.8.9 et ultérieures. Le problème était dû au fait que l’application de bureau ne validait pas correctement les messages.
Pas d’attaque exploitant les vulnérabilités répertoriée
Cisco souligne également que les clients doivent mettre à jour l’application concernée dans le HVD dans l’environnement du bureau virtuel. Toutefois, le plug-in n’a pas besoin d’être mis à jour. Heureusement, la Product Security Incident Response Team (PSIRT) de Cisco n’a observé aucune attaque et la faille a été trouvée lors de tests internes.
Cisco invite également ses clients à mettre à jour les sites Webex Meetings et Webex Meetings Server en raison des vulnérabilités affectant Webex Network Recording Player for Windows et Webex Player for Windows. Ces failles sont suivis comme CVE-2020-3573, CVE-2020-3603 et CVE-2020-3604. Elles ont une cote de gravité de 7,8.
Bien que le PSIRT de Cisco n’ait observé aucune activité malveillante exploitant ces failles, elles ont été découvertes par le chercheur en sécurité Francis Provencher (PRL) qui a signalé le problème à Cisco via l’initiative Zero Day de Trend Micro. Cisco note qu’il n’y a pas de solution de contournement et a énuméré dans son avis les versions des sites Webex Meetings et Webex Meetings Server qui doivent être mises à jour.
Source : ZDNet.com
