I ricercatori hanno scoperto una vulnerabilità zero-day in Zoom che può essere utilizzata per lanciare attacchi di esecuzione di codice remoto (RCE).
Pwn2Own, organizzato dalla Zero Day Initiative, è un concorso per professionisti e team white hat per competere nella scoperta di bug in software e servizi popolari. L’ultima competizione includeva 23 partecipanti, in competizione in diverse categorie, inclusi browser web, software di virtualizzazione, server, comunicazione aziendale e aumento locale dei privilegi.
Per i partecipanti di successo, le ricompense finanziarie possono essere elevate e, in questo caso, Daan Keuper e Thijs Alkemade si sono guadagnati $ 200.000 per la loro scoperta Zoom.
I ricercatori di Computest hanno dimostrato una catena di attacchi di tre bug che ha causato un RCE su una macchina bersaglio, e il tutto senza alcuna forma di interazione da parte dell’utente. Poiché Zoom non ha ancora avuto il tempo di correggere il problema critico di sicurezza, i dettagli tecnici specifici della vulnerabilità vengono tenuti nascosti. Tuttavia, un’animazione dell’attacco in azione dimostra come un utente malintenzionato sia stato in grado di aprire il programma di calcolo di una macchina che esegue Zoom in seguito al suo exploit.
Come notato da Malwarebytes, l’attacco funziona su entrambe le versioni Windows e Mac di Zoom, ma non è stato ancora testato su iOS o Android. La versione del browser del software di videoconferenza non viene influenzata.
In una dichiarazione alla Tom’s Guide , Zoom ha ringraziato i ricercatori di Computest e ha detto che la società “sta lavorando per mitigare questo problema rispetto a Zoom Chat”. Le riunioni Zoom in sessione e i webinar video Zoom non sono interessati.
“L’attacco deve anche provenire da un contatto esterno accettato o far parte dello stesso account organizzativo del bersaglio”, ha aggiunto Zoom. “Come best practice, Zoom consiglia a tutti gli utenti di accettare solo richieste di contatto da persone che conoscono e di cui si fidano”.
I fornitori hanno una finestra di 90 giorni, che è una pratica standard nei programmi di divulgazione delle vulnerabilità, per risolvere i problemi di sicurezza rilevati. Gli utenti finali devono solo attendere l’emissione di una patch, ma se preoccupati, nel frattempo possono utilizzare la versione del browser.
“Questo evento, e le procedure e i protocolli che lo circondano, dimostrano molto bene come funzionano gli hacker dal cappello bianco e cosa significa divulgazione responsabile”, afferma Malwarebytes.
