Cisco Jabber漏洞可能会让黑客远程攻击Windows系统

网络设备制造商Cisco发布了适用于Windows的Jabber视频会议和消息应用程序的新版本，其中包括针对多个漏洞的修补程序&8212；如果受到攻击，可允许经过身份验证的远程攻击者执行任意代码。

这些漏洞是挪威网络安全公司Watchcom在pentest期间发现的，影响了Jabber客户端（12.1-12.9）目前支持的所有版本，并已由该公司修复。

这四个漏洞中的两个可以通过在群组对话或特定个人中发送精心编制的聊天消息，在目标系统上获得远程代码执行（RCE）。

其中最严重的是一个漏洞（CVE-2020-3495，CVSS评分9.9），该漏洞是由消息内容的不正确验证引起的，攻击者可以通过向受影响的软件发送恶意编制的可扩展消息和状态协议（XMPP）消息来利用该漏洞。

Cisco在昨天发布的一份公告中表示：“成功利用此漏洞，攻击者可以使应用程序以运行Cisco Jabber客户端软件的用户帐户的权限在目标系统上执行任意程序，可能导致任意代码执行。”。

几天前，思科警告称其IOS XR路由器软件中存在被积极利用的零日漏洞。

XSS缺陷到RCE缺陷

XMPP（最初称为Jabber）是一种基于XML的通信协议，用于促进任意两个或多个网络实体之间的即时消息传递。

它还被设计为可扩展的，以便容纳额外的功能，其中之一是XEP-0071:XHTML-IM—；该规范规定了使用XMPP协议交换HTML内容的规则。


Cisco Jabber中的漏洞源于解析XHTML-IM消息时的跨站点脚本（XSS）漏洞。

Watchcom的研究人员解释说：“该应用程序没有正确地清理传入的HTML消息，而是通过有缺陷的XSS过滤器传递它们。”。

因此，可以拦截和修改合法的XMPP消息，从而使应用程序运行已经存在于应用程序本地文件路径中的任意可执行文件。

为了实现这一点，它利用了Chromium Embedded Framework（CEF）和#8212中单独的易受攻击功能；一个开源框架，用于在其他应用程序中嵌入Chromium web浏览器—；坏演员可能会滥用它在受害者的机器上执行rogue“.exe”文件。

然而，攻击者需要访问受害者的XMPP域，才能发送成功利用该漏洞所需的恶意XMPP消息。

此外，Jabber中的其他三个缺陷（CVE-2020-3430、CVE-2020-3498、CVE-2020-3537）可能被利用来注入恶意命令并导致信息泄露，包括可能会秘密收集用户的NTLM密码哈希。

随着视频会议应用在大流行后变得越来越流行，Jabber用户更新到最新版本的软件以降低风险至关重要。

Watchcom表示：“鉴于这些应用程序在各种规模的组织中都很流行，它们正成为攻击者越来越有吸引力的目标。”。“许多敏感信息通过视频通话或即时消息共享，大多数员工都使用这些应用程序，包括那些有权访问其他IT系统的员工。”

“因此，这些应用程序的安全性至关重要，确保应用程序本身及其使用的基础设施都定期接受安全漏洞审计非常重要。”