Esta vulnerabilidade é seguida pelo CVE-2019-1674 e pode ser explorada por um atacante local para escalar privlégios e correr comandos arbitrariamente usando privilégios como utilizador SYSTEM ou administrador.

A falha está na possibilidade de um atacante poder executar código remotamente e conseguir chegar às ferramentas de gestão remota do sistema operativo.

Apesar de a falha estar, por agora, presente no Windows, a Microsoft não validou ainda o número de versões que estão vulneráveis.

Explorar a falha

O atacante pode modificar o binário referente à atualização do produto colocando uma versão vulnerável através de uma atualização falsa que, em vez de representar a versão, de facto, atual, irá carregar um DLL malicioso para escalar privilégios e permitir ao atacante correr comandos como se fosse administrador.

Segundo os investigadores, o atacante pode simplesmente substituir o binário por um em formato 7z.

De forma a conseguir escalar privilégios, o atacante deve iniciar o serviço através da linha de comandos: sc start webexservice WebexService 1 989898 “attacker-controlled-path”

Versões demonstradas como vulneráveis:

33.8.X e anteriores

Mais informações no Advisory oficial: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj