Menu dostępności

Luki w zabezpieczeniach aplikacji Zoom mogą być wykorzystywane przez hakerów

W popularnej usłudze wideokonferencyjnej Zoom załatano ostatnio cztery krytyczne luki w zabezpieczeniach. Te luki w zabezpieczeniach mogą zostać wykorzystane przez osoby stanowiące zagrożenie, które wysyłały specjalnie spreparowane wiadomości XMPP do innych użytkowników. Następnie uruchomiany był złośliwy kod na przy użyciu komputera skompromitowanego użytkownika.

Błędy, które zostały ostatnio załatane, mają poziom od 5.9 do 8.1 w skali dotkliwości. Wszystkie cztery błędy zostały odkryte i zgłoszone w lutym 2022 roku przez Ivana Fratrica z Google Project Zero.

O Google Project Zero wspominaliśmy już wielokrotnie na łamach naszego bloga. Zespół stworzony przez Google których zadaniem jest znajdowanie, zgładzenie i opisywanie luk zero-day po raz kolejny dostarcza pokaźną ilość błędów.


Wykryte i naprawione błędy

Firma usunęła następujące luki w zabezpieczeniach

CVE ID: CVE-2022-22784
Opis: Nieprawidłowe przetwarzanie XML w oprogramowaniu Zoom Client for Meetings
Wynik CVSS: 8.1
Poziom istotności: Wysoki

CVE ID: CVE-2022-22785
Opis: Nieprawidłowo ograniczone pliki cookie sesji w oprogramowaniu Zoom Client for Meetings
Wynik CVSS: 5.9
Poziom istotności: Średni

CVE ID: CVE-2022-22786
Opis: Aktualizacja pakietów w oprogramowaniu Zoom Client for Meetings for Windows
Wynik CVSS: 7.5
Poziom istotności: Wysoki

CVE ID: CVE-2022-22787
Opis: Niewystarczająca walidacja nazwy hosta podczas przełączania serwera w programie Zoom Client for Meetings
Wynik CVSS: 5.9
Poziom istotności: Średni

Spośród nich wszystkich, CVE-2022-22784 z wynikiem CVSS 8.1 jest najpoważniejszym błędem usuniętym przez Zoom. Luka ta jest związana z niewłaściwym przetwarzaniem XML w oprogramowaniu Zoom Client for Meetings.

Dzięki luce, haker jest w stanie stworzyć odrębny kontekst wiadomości za pomocą XMPP. W ten sposób aplikacja po stronie ofiary wykonuje niepożądane działania.

Funkcja czatu w oprogramowaniu Zoom jest oparta na standardzie XMPP i dlatego umożliwia wysoki poziom interakcji. W wyniku wykorzystania wyżej wymienionych luk, osoby stanowiące zagrożenie mogą podawać się za zwykłych użytkowników, aby wykraść poufne informacje.

W rezultacie może dojść do wykonania dowolnego kodu w wyniku ataku typu „downgrade” spowodowanego przez podejrzany serwer. Parsery XML w kliencie i serwerze oprogramowania mogą zostać wykryte jako niespójne.

Ofiara takiego ataku otrzyma zwrotki XMPP, które mogą zostać wykorzystane do komunikacji z atakującymi.

Klient Zoom z mniej bezpieczną wersją oprogramowania może być obsługiwany przez serwer man-in-the-middle, który przechwytuje mechanizm aktualizacji oprogramowania.

Aplikacja Zoom dla systemu macOS również padła ofiarą ataku typu downgrade (CVE-2022-22781), który również został naprawiony. Aby zminimalizować potencjalne zagrożenie wynikające z aktywnego wykorzystania tej luki, zaleca się, aby wszyscy użytkownicy aplikacji zaktualizowali ją do najnowszej wersji (5.10.0).


Podsumowanie

Aplikacja Zoom w momencie zdobywania swojej największej popularności posiadała już wiele istotnych ze względu bezpieczeństwa luk i błędów.

Tak jak opisywaliśmy w naszym ostatnim artykule o Zoom tutaj, aplikacja nie posiada mechanizmu automatycznej aktualizacji przez co należy pamiętać o manualnym podnoszeniu wersji.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...