Biztonságos WebEx konferenciák az ISS segítségével

forrás Prim Online, 2006. július 23. 12:04
Az Internet Security Systems X-Force kutató és fejlesztő csoportja felfedezett egy veszélyes biztonsági rést a népszerű webes konferenciaszoftver, a WebEx által használt ActiveX vezérlőben. Az ISS szorosan együttműködött a WebExszel a biztonsági rés kijavításában. A WebEx állítása szerint nem tudnak olyan esetről, hogy a már kijavított biztonsági rés miatt kár érte volna bármely felhasználójukat is.
Az ISS X-Force csapata egy távolról kihasználható biztonsági rést fedezett fel a WebEx kliensprogram telepítése során használt ActiveX vezérlőben. A kliensprogramra akkor van szükség, amikor a felhasználó egy webes konferencián vesz részt, vagy egy új konferenciát hoz létre. Az ActiveX vezérlőt a konferenciához szükséges szoftverösszetevők letöltéséhez használják. A biztonsági rés abból adódott, hogy az ActiveX vezérlő nem ellenőrizte a kiegészítő összetevők tartalmának vagy forrásának érvényességét. Ezt könnyen ki tudták volna használni a támadók egy egyéni weboldal létrehozásával, amelyről a WebEx ActiveX vezérlője letöltheti a kártékony kódokat és elhelyezheti azokat a felhasználók számítógépén.

"Magyarországon is egyre több vállalat veszi igénybe a WebEx szolgáltatásait, és használja ki előnyeit. Egy dologról azonban nem szabad megfeledkeznünk: minél több internetes szolgáltatáshoz kapcsolódó technológiát alkalmaz egy vállalat, annál nagyobb mértékben kell az informatikai rendszer biztonságára is odafigyelni. A jelenleg azonosított WebEx biztonsági rés kihasználásával a támadók a felhasználók tudta nélkül juthatnának fontos üzleti adatokhoz, amelyek lehetővé tehetik, hogy a vállalati hálózaton található további eszközökhöz is hozzáférjenek, és átvegyék felettük az irányítást" - mondta el Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója, az ISS termékek és szolgáltatások hazai disztribútora. "A vállalati informatikai eszközök és titkos információk illetéktelen felhasználása kedvezőtlenül befolyásolhatja a vállalat hatékonyságát, és nem tervezett többletkiadásokhoz is vezethet. Ezért javasoljuk az új technológiai megoldások biztonsági szakértővel egyeztett integrálását a vállalat meglévő rendszerébe."

A WebEx már frissítette ügyfelei weboldalait, és a felhasználók ActiveX vezérlői is automatikusan frissülnek a szolgáltatás igénybevételekor. A WebEx létrehozott egy olyan weboldalt is, ahol az érdeklődők kézi módszerrel frissíthetik a telepítőt.

Az ISS a Proventia elnevezésű biztonsági platformján keresztül nyújt megelőző védelmet az ügyfeleinek e veszélyforrás ellen. Az ISS megelőző technológiája az X-Force kutató és fejlesztő csoport kutatómunkájára épül. Az ISS Virtual Patch technológiájának elsődleges célja a biztonsági rések felismerése és megszüntetése még a támadást megelőzően, nem pedig az ismert rosszindulatú károkozók elleni védelem. Ezzel a megoldással az ISS ügyfelei addig is védettséget élveznek az internetes veszélyforrásokkal szemben, amíg az érintett szállítóktól beszerzik a megfelelő javítást és letesztelik, illetve alkalmazzák azt.

Az ISS X-Force útmutatásai a WebExben talált biztonsági réssel kapcsolatban.