W popularnej usłudze wideokonferencyjnej Zoom załatano ostatnio cztery krytyczne luki w zabezpieczeniach. Te luki w zabezpieczeniach mogą zostać wykorzystane przez osoby stanowiące zagrożenie, które wysyłały specjalnie spreparowane wiadomości XMPP do innych użytkowników. Następnie uruchomiany był złośliwy kod na przy użyciu komputera skompromitowanego użytkownika.
Błędy, które zostały ostatnio załatane, mają poziom od 5.9 do 8.1 w skali dotkliwości. Wszystkie cztery błędy zostały odkryte i zgłoszone w lutym 2022 roku przez Ivana Fratrica z Google Project Zero.
O Google Project Zero wspominaliśmy już wielokrotnie na łamach naszego bloga. Zespół stworzony przez Google których zadaniem jest znajdowanie, zgładzenie i opisywanie luk zero-day po raz kolejny dostarcza pokaźną ilość błędów.
Wykryte i naprawione błędy
Firma usunęła następujące luki w zabezpieczeniach
CVE ID: CVE-2022-22784
Opis: Nieprawidłowe przetwarzanie XML w oprogramowaniu Zoom Client for Meetings
Wynik CVSS: 8.1
Poziom istotności: Wysoki
CVE ID: CVE-2022-22785
Opis: Nieprawidłowo ograniczone pliki cookie sesji w oprogramowaniu Zoom Client for Meetings
Wynik CVSS: 5.9
Poziom istotności: Średni
CVE ID: CVE-2022-22786
Opis: Aktualizacja pakietów w oprogramowaniu Zoom Client for Meetings for Windows
Wynik CVSS: 7.5
Poziom istotności: Wysoki
CVE ID: CVE-2022-22787
Opis: Niewystarczająca walidacja nazwy hosta podczas przełączania serwera w programie Zoom Client for Meetings
Wynik CVSS: 5.9
Poziom istotności: Średni
Spośród nich wszystkich, CVE-2022-22784 z wynikiem CVSS 8.1 jest najpoważniejszym błędem usuniętym przez Zoom. Luka ta jest związana z niewłaściwym przetwarzaniem XML w oprogramowaniu Zoom Client for Meetings.
Dzięki luce, haker jest w stanie stworzyć odrębny kontekst wiadomości za pomocą XMPP. W ten sposób aplikacja po stronie ofiary wykonuje niepożądane działania.
Funkcja czatu w oprogramowaniu Zoom jest oparta na standardzie XMPP i dlatego umożliwia wysoki poziom interakcji. W wyniku wykorzystania wyżej wymienionych luk, osoby stanowiące zagrożenie mogą podawać się za zwykłych użytkowników, aby wykraść poufne informacje.
W rezultacie może dojść do wykonania dowolnego kodu w wyniku ataku typu “downgrade” spowodowanego przez podejrzany serwer. Parsery XML w kliencie i serwerze oprogramowania mogą zostać wykryte jako niespójne.
Ofiara takiego ataku otrzyma zwrotki XMPP, które mogą zostać wykorzystane do komunikacji z atakującymi.
Klient Zoom z mniej bezpieczną wersją oprogramowania może być obsługiwany przez serwer man-in-the-middle, który przechwytuje mechanizm aktualizacji oprogramowania.
Aplikacja Zoom dla systemu macOS również padła ofiarą ataku typu downgrade (CVE-2022-22781), który również został naprawiony. Aby zminimalizować potencjalne zagrożenie wynikające z aktywnego wykorzystania tej luki, zaleca się, aby wszyscy użytkownicy aplikacji zaktualizowali ją do najnowszej wersji (5.10.0).
Podsumowanie
Aplikacja Zoom w momencie zdobywania swojej największej popularności posiadała już wiele istotnych ze względu bezpieczeństwa luk i błędów.
Tak jak opisywaliśmy w naszym ostatnim artykule o Zoom tutaj, aplikacja nie posiada mechanizmu automatycznej aktualizacji przez co należy pamiętać o manualnym podnoszeniu wersji.