L'extension Chrome WebEx de Cisco victime d'une importante faille critique

L’extension Chrome WebEx de Cisco victime d’une importante faille critique

Et particulièrement simple à exploiter

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

24/01/2017 4 minutes
18

L'extension Chrome WebEx de Cisco victime d'une importante faille critique

L’extension WebEx de Cisco contient une vulnérabilité critique. Il est recommandé de la mettre à jour immédiatement, le risque étant sévère. Problème, il semble que la nouvelle version ne bloque pas nécessairement tous les scénarios d’attaque.

Cette faille a été découverte par Tavis Ormandy, de l’initiative Project Zero de Google. Il s’agit du même chercheur en sécurité qui a souligné les problèmes potentiels de l’extension Acrobat d’Adobe. Cette fois cependant, le danger est immédiat et très sérieux, puisque visiter un site spécialement conçu avec Chrome et l’extension installée pourrait permettre une exécution de code arbitraire à distance.

Une séquence « magique » de caractères

La faille, telle que décrite par Ormandy, est particulièrement simple à exploiter. Il suffit en effet qu’un fichier ou une ressource quelconque sur le serveur web contienne la séquence « cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html » dans son adresse. Cette suite de caractères permet en effet de déclencher une conférence à distance si l’extension est présente pour l’interpréter.

Malheureusement, si cette séquence est utilisée pour ouvrir les conférences, elle peut également être utilisée pour exécuter du code.  Et malheureusement, plusieurs points rendent la faille particulièrement sensible. Par exemple, le fait que l’extension soit installée sur environ 20 millions d’ordinateurs dans le monde. En outre, que ces machines soient pour beaucoup dans les entreprises, où les données peuvent être très sensibles. Encore, que la fameuse séquence puisse être placée dans un tag iframe, donc particulièrement discret pour l’internaute.

Vérifier que la dernière version est installée

Deux jours après la publication du rapport par Tavis Ormandy, Cisco diffusait une nouvelle version de son extension WebEx. À l’heure actuelle, elle est en théorie présente sur la grande majorité des installations Chrome qui en étaient équipées. La mise à jour des extensions est en effet, pour rappel, automatique sur le navigateur, comme chez la concurrence d’ailleurs.

Cependant, on peut forcer la vérification de la version en se rendant dans le menu principal, puis « Plus d’outils », « Extensions ». Là, il faudra cocher la case « Mode développeurs » puis cliquer sur « Mettre à jour les extensions maintenant ». La version corrigée doit être au moins estampillée 1.0.3.

La mise à jour ne bloque pas tous les scénarios d'attaque

Cependant, la nouvelle mouture ne résout pas entièrement le problème. Le chercheur a en effet indiqué à Ars Technica que certains scénarios restent possibles, notamment parce que la mise à jour de l’extension permet toujours au site officiel de WebEx (webex.com) d’exploiter la séquence de caractères évoquée précédemment. Si ce site devait un jour être attaqué via une vulnérabilité de type cross-site scripting (XSS), la faille de l’extension pourrait alors être à nouveau exploitée.

En outre, comme le relayent toujours nos confrères, il existe un problème dans la manière dont le service avertit l’utilisateur qu’une conférence va être lancée. Le site visité affiche en effet une alerte lui indiquant que le client de conférence sera lancé s’il confirme l’action. Pour le chercheur en sécurité Filippo Valsorda de Cloudflare, il ne s’agit ni plus ni moins que d’un « cauchemar d’ingénierie sociale ».

Notez qu’en attendant, les cas d’exploitation les plus graves sont bloqués par la mise à jour. Tous les utilisateurs ont intérêt à l’installer aussi rapidement que possible. Actuellement, l'extension en est à la version 1.0.5.

18

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une séquence « magique » de caractères

Vérifier que la dernière version est installée

La mise à jour ne bloque pas tous les scénarios d'attaque

Commentaires (18)


Oui, je reste septique sur cette “faille”.



Pas qu’elle existe pas, mais pourquoi elle est présente… “God mod” oublié après le dev ? Non parce que l’outil webex est installé vraiment partout dans les boîtes…


Il y a une petite coquille dans la news:



Notez qu’en attendant, les cas d’exploitation les plus graves sont bloqués par la mise à jour. Tous les utilisateurs ont intérêt à l’installer désinstaller l’extension aussi rapidement que possible. Actuellement, l’extension en est à la version 1.0.5.





<img data-src=" />


(Il y a un bouton “/!\ Signaler une erreur” en haut de page ;-) )


Hmm donc la version Chrome est-elle la seule vulnérable ?


Cisco, collabos !



<img data-src=" />








linkin623 a écrit :



Oui, je reste septique sur cette “faille” fosse.



Pas qu’elle existe pas, mais pourquoi elle est présente… “God mod” oublié après le dev ? Non parce que l’outil webex est installé vraiment partout dans les boîtes…





<img data-src=" />









Constance a écrit :



Hmm donc la version Chrome est-elle la seule vulnérable ?





&nbsp;Une extension non-libre dans un navigateur non-libre est-elle plus a labris d’une faille de sécu qu’un autre navigateur ?

non, mais au moins dans la firefox on sais quand c’est corriger et qu’il n’y a pas plus que le nécessaire a la correction de la faille de sécu (enfin quand l’extension est elle même libre bien entendue)









Winderly a écrit :



<img data-src=" />





<img data-src=" />



C’est incroyable qu’une boite axée sécurité fasse une bourde aussi grosse. N’importe quel développeur web, la première chose qu’on lui apprend c’est de valider ses entrées et de ne jamais faire confiance à l’utilisateur…

On en vient effectivement à douter de leurs intentions…








Zerdligham a écrit :



N’importe quel développeur web, la première chose qu’on lui apprend c’est de valider ses entrées et de ne jamais faire confiance à l’utilisateur…







Là dessus j’ai un doute, j’ai trop souvent du rejeter des livraisons parce que je pouvais saisir “bite” dans un champ date.



Ton expérience ne va pas contre «c’est la première chose qu’on apprend»

Elle apporte une information supplémentaire: C’est la première chose qu’on oublie. <img data-src=" />


Pour info la mise à jour consiste juste à n’autoriser l’exécution de code arbitraire que depuis des domaines en *.webex.com.



Hors,&nbsp; certains n’ont pas mis longtemps à trouver des XSS sur des domaines webex.com:

https://twitter.com/mattaustin/status/824034201703878656



Autant dire que la seule conduite possible est la désinstallation pure et simple du plugin en attendant un vrai patch de sécurité.


Je me pose aussi cette question.


Ah oui joli la …


Oui sauf que là c’est pas réellement une erreur de l’article mais plus une interprétation différente de ma part de ce qu’il faut faire.

De plus, le bouton “Signaler une erreur” n’est pas disponible en mode incognito !








SebGF a écrit :



Là dessus j’ai un doute, j’ai trop souvent du rejeter des livraisons parce que je pouvais saisir “bite” dans un champ date.







C’est pour ça qu’il ne faut jamais laisser le choix à cet endroit.









SebGF a écrit :



Là dessus j’ai un doute, j’ai trop souvent du rejeter des livraisons parce que je pouvais saisir “bite” dans un champ date.





J’ai dit que c’était la première chose qu’on apprenait, pas que c’était parfaitement appliqué. Cela dit, combien de fois est-ce arrivée que ta bite soit exécutée?

Un développeur devrait être en alerte s’il est contraint d’utilisé un webshell. Là c’est même pas qu’ils ont mal prévu un cas, c’est qu’ils n’ont rien prévu.







Cashiderme a écrit :



C’est pour ça qu’il ne faut jamais laisser le choix à cet endroit.





<img data-src=" /> (j’avoue avoir mis un peu de temps à comprendre)









Zerdligham a écrit :



Cela dit, combien de fois est-ce arrivée que ta bite soit exécutée?







En général ça n’arrive qu’une fois.



Couic <img data-src=" />