Uwaga! Odkryto nowe podatności w aplikacji Zoom – tym razem krytyczne.
Dwaj badacze bezpieczeństwa z Holandii (Daan Keuper and Thijs Alkemade) zademonstrowali wykorzystanie luk w kliencie Zoom, które pozwoliły im przejąć kontrolę nad komputerem użytkownika. Exploit łączy trzy luki w Zoom i umożliwia zdalne wykonanie kodu bez interakcji użytkownika. Exploit działa na kliencie stacjonarnym Zoom dla komputerów PC i Mac. Przypominamy, że to nie pierwsze odkryte podatności Zoom. O innych pisaliśmy tutaj.
UWAGA! Opisywana podatność nie dotyczy wersji przeglądarkowej Zoom – jedynie klienta instalowanego na komputerach. Zalecane jest korzystanie z wersji przeglądarkowej, dopóki łatka nie będzie dostępna.
Ciekawostką jest, że Zoom był jednym ze sponsorów zawodów hackerskich „na żywo” o nazwie „Pwn2Own” organizowanych przez “Zero Day Initiative”. Podczas wydarzenia (7 kwietnia) jeden z uczestników zademonstrował ciekawy błąd właśnie w aplikacji, której firma jest twórcą. Podczas zawodów pokazano także inny ciekawy exploit 0-day dla Microsoft Exchange (już są dostępne łatki) oraz Microsoft Teams. Oczywiście luki zostały zgłoszone do Zoom i żadne szczegóły nie zostały ujawnione. Badacze otrzymali pokaźną sumę (200 tys. USD) za swoje odkrycie. Wydarzenie Pwn2Own było dla badaczy świetnym sposobem na wykazanie się swoimi umiejętnościami w sposób odpowiedzialny. Przygnębiające jest to, że prawie rok po roku praktycznie każda ważniejsza aplikacja lub system zostają złamane. Natomiast wydarzenie jest doskonałym źródłem na odpowiedzialnie ujawnianie szczegółów dotyczących luk w zabezpieczeniach.
Szczegóły Exploit dla Zoom
Exploit wykorzystuje słabość produktu Zoom Chat. Nie mylić z czatem dostępnym w trakcie sesji, który jest częścią Zoom Meetings lub Zoom Video Webinars. Osoba atakująca musi być zaakceptowanym kontaktem zewnętrznym lub innym użytkownikiem w organizacji. Dalsze szczegóły są nieznane, ponieważ zgodnie ze standardową praktyką w programach do ujawniania luk w zabezpieczeniach producenci mają 90-dniowe okno na rozwiązanie problemu. Również po tym okresie zostaną ujawnione publicznie luki bezpieczeństwa. Użytkownicy końcowi muszą jeszcze poczekać na wydanie poprawki.
Używam Zoom. Jak sobie radzić z problemem?
Najlepszym środkiem zaradczym jest używanie klienta WWW do czasu wydania poprawki oraz upewnienie się, że postępujesz zgodnie ze sprawdzonymi metodami zabezpieczania spotkań online. Przy spotkaniach (nie tylko przez Zoom) akceptuj prośby o kontakt zewnętrzny tylko od osób, które znasz i którym ufasz. Kilka ciekawych wskazówek znajdziesz na poniższym nagraniu.
Oświadczenie Zoom
Publikujemy oświadczenie Zoom’a po publikacji artykułu na stronie Tom’s Guide
„Dziękujemy inicjatywie Zero Day za umożliwienie nam sponsorowania i udziału w Pwn2Own Vancouver 2021, wydarzeniu podkreślającym krytyczną i umiejętną pracę wykonaną przez badaczy bezpieczeństwa. Bardzo poważnie traktujemy bezpieczeństwo i bardzo doceniamy badania przeprowadzone przez Computest.
Pracujemy nad złagodzeniem tego problemu w przypadku Zoom Chat, naszego produktu do obsługi wiadomości grupowych. Problem nie dotyczy rozmów w trakcie sesji w Zoom Meetings i Zoom Video Webinars. Atak musi również pochodzić z zaakceptowanego kontaktu zewnętrznego lub być częścią tego samego konta organizacyjnego celu.
Zgodnie z najlepszą praktyką Zoom zaleca, aby wszyscy użytkownicy akceptowali prośby o kontakt tylko od osób, które znają i którym ufają. Jeśli uważasz, że znalazłeś problem z bezpieczeństwem produktów Zoom, wyślij szczegółowy raport do naszego Programu ujawniania luk w naszym Centrum zaufania.”
Oczywiście zalecamy ostrożność i trzymamy kciuki za Wasze bezpieczne telekonferencje i spotkania – nie tylko przez Zoom.