Zoom sta per correggere un’altra vulnerabilità zero-day nel suo client Windows, che potrebbe consentire l’esecuzione di codice in modalità remota.
Il CEO di Acros Security, Mitja Kolsek, ha rivelato la notizia in un post sul blog:
“Abbiamo analizzato il problema e determinato che è sfruttabile solo su Windows 7 e sistemi Windows precedenti. Mentre il supporto ufficiale di Microsoft per Windows 7 è terminato questo gennaio, ci sono ancora milioni di utenti domestici e aziendali là fuori che ne prolungano la vita con gli aggiornamenti di sicurezza estesa di Microsoft o con 0patch “
“Abbiamo quindi documentato il problema insieme a diversi scenari di attacco e lo abbiamo segnalato a Zoom in precedenza oggi insieme a una prova concreta del concetto e consigli per la correzione. Se una taglia di insetto viene assegnata da Zoom, deve essere revocata a favore di un’organizzazione benefica a scelta del ricercatore. “
L’offerta 0patch di Acros Security fornisce “micropatch” ai processi in esecuzione senza la necessità per gli amministratori di riavviare tali processi.
L’azienda ha deciso di fornire queste patch gratuitamente a chiunque scarichi l’agente 0patch. Questi diventeranno automaticamente obsoleti non appena Zoom rilascerà un aggiornamento per correggere la vulnerabilità. Al momento non sono disponibili dettagli tecnici sullo zero-day.
Tuttavia, è evidente che per riuscire a sfruttare positivamente l’exploit, un eventuale attaccante ha bisogno di una qualche interazione da parte dell’utente. La vittima dovrebbe, in sostanza, prima eseguire alcune azioni come, ad esempio, l’apertura di un documento.
Sfortunatamente, in questa fase il client di Zoom non visualizza alcun avviso di sicurezza all’utente relativo ad un potenziale attacco, nonostante negli ultimi tempi sia stato palese l’impegno nell’aumentare le sue credenziali di sicurezza. La società di videoconferenza, infatti, ha anche acquisito l’ex CSO di Facebook Alex Stamos come consulente, e Luta Security come nuovo partner per aiutare a ricostruire il suo programma di bug bounty, e diversi altri esperti in crittografia, privacy e cyber security.
https://www.infosecurity-magazine.com/news/zoom-zeroday-bug-hits-legacy/
