WebEx Chrome-Plug-in macht Windows-PCs angreifbar

Mehr als 20 Millionen Anwender setzen auf Ciscos WebEx-Extension für Googles Chrome-Browser und können darüber angegriffen werden. Das funktioniert von jeder beliebigen Web-Seite aus. Ein Update behebt den Fehler – möglicherweise aber nur unzureichend.

Ciscos WebEx-Erweiterung für den Chrome-Browser bringt nicht nur die Möglichkeit, damit Online-Meetings abzuhalten, sondern öffnet die Systeme auch für Angreifer, die darüber bösartigen Code auf den Systemen ausführen können. Der Google-Sicherheitsforscher Tavis Ormandy hat jetzt Details zu der Schwachstelle veröffentlicht. Oarmandy spricht von einer “Magic WebEx-URL”, die das Ausführen von beliebigem Code erlaubt.

Unter dem Menüpunkt Chrome/Erweiterungen/ kann die Cisco WebEx-Erweiterung schnell entfernt werden. (Screenshot: silicon.de)
Unter dem Menüpunkt Chrome/Erweiterungen/ kann die Cisco WebEx-Erweiterung schnell entfernt werden. (Screenshot: silicon.de)

Die Erweiterung funktioniere demnach auf jeder URL, die folgendes Muster enthalte: “cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html”. Dieses Muster aber könne aber einfach aus dem Extention-Manifest extrahiert werden. Dieses Pattern könne zudem in einem iFrame aufgerufen werden, daher müsse ein Nutzer nicht unbedingt mitbekommen, dass er sich auf einer Web-Seite befindet, die diesem Muster entspricht.

Unter dem Menüpunkt Chrome/Erweiterungen/ kann die Cisco WebEx-Erweiterung schnell entfernt werden. (Screenshot: silicon.de)
Unter dem Menüpunkt Chrome/Erweiterungen/ kann die Cisco WebEx-Erweiterung schnell entfernt oder deaktiviert werden. (Screenshot: silicon.de)

Es reicht laut Project Zero von Google aus, irgend eine Web-Seite aufzurufen, weil die WebEx-Erweiterung nativeMessaging, das Messaging-System von Chrome – verwendet. Das funktioniert auch dann, wenn Anwender aktuell gar nicht mit WebEx arbeiten. Das bedeutet, wie Ormandy über Twitter verbreitet, dass praktisch auf jeder Web-Seite über diese Erweiterung beliebiger Code ausgeführt werden kann. Der Google-Sicherheitsforscher hat dann laut eigenen Angaben dieses System dazu bringen können, Windows-System- und C-Library-Aufrufe zu starten.

Cisco hat bereits mit der Veröffentlichung von WebEx Version 1.0.3 reagiert. Allerdings kommt prompt die Kritik on dem Verschlüsselungsexperten Filippo Valsorda, dass der Patch das Problem nicht vollständig behebe. Warum er diese Ansicht vertritt, führt er in einem Blog-Beitrag näher aus. Falls man die Extension also aktuell nicht benötigt, wäre es vielleicht angeraten, diese vorerst aus Chrome zu entfernen, oder zumindest zu deaktivieren.

Dank des Cisco-Patches muss ein Opfer hier zustimmen. Wenn man nun auf Ok klickt, wird auf dem Rechner Malware ausgeführt, wie Verschlüsslelungsexperte Filippo Valsorda in einem Blog erklärt. (Bild: Filippo Valsorda)
Dank des Cisco-Patches muss ein Opfer hier zustimmen. Wenn man nun auf Ok klickt, wird auf dem Rechner Malware ausgeführt, wie Verschlüsslelungsexperte Filippo Valsorda in einem Blog erklärt. (Bild: Filippo Valsorda)