Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi Publicerad i Zero Day den 19 januari 2022 | Ämne: Säkerhet
Två sårbarheter som nyligen avslöjats för Zoom kunde ha lett till fjärrexploatering i klienter och MMR-servrar, säger forskare.
I tisdags publicerade Project Zero-forskaren Natalie Silvanovich en analys av säkerhetsbristerna, resultatet av en undersökning inspirerad av en nollklicksattack mot videokonferensverktyget som demonstrerades på Pwn2Own.
“Tidigare hade jag inte prioriterat att granska Zoom eftersom jag trodde att varje attack mot en Zoom-klient skulle kräva flera klick från en användare”, förklarade forskaren. “Som sagt, det är sannolikt inte så svårt för en dedikerad angripare att övertyga ett mål att gå med i ett Zoom-samtal även om det tar flera klick, och hur vissa organisationer använder Zoom presenterar intressanta attackscenarier.”
Silvanovich hittade två olika buggar, ett problem med buffertspill som påverkade både Zoom-klienter och Zoom Multimedia Routers (MMRs), och det andra var ett säkerhetsfel för informationsläckor som var centralt för MMR-servrar.
En brist på adressutrymmeslayout randomisering (ASLR), en säkerhetsmekanism för att skydda mot attacker mot minneskorruption, noterades också.
“ASLR är utan tvekan den viktigaste begränsningen för att förhindra exploatering av minneskorruption, och de flesta andra begränsningar förlitar sig på att den på någon nivå ska vara effektiv”, noterade Silvanovich. “Det finns ingen bra anledning till att den ska inaktiveras i de allra flesta program.”
När MMR-servrar bearbetar samtalsinnehåll inklusive ljud och video, säger forskaren att felen är “särskilt oroande” – och med kompromisser skulle alla virtuella möten utan end-to-end-kryptering aktiverad ha blivit utsatta för avlyssning,
Forskaren slutförde inte hela attackkedjan, men misstänker att en beslutsam angripare kunde göra det med tanke på tid och “tillräcklig investering.”
Sårbarheterna rapporterades till leverantören och korrigerades den 24 november 2021. Zoom har sedan dess aktiverat ASLR.
Det var möjligt att hitta dessa buggar eftersom Zoom tillåter klienter att sätta upp sina egna servrar; dock, den “stängda” naturen hos Zoom – som inte inkluderar komponenter med öppen källkod (som WebRTC eller PJSIP) som många andra jämförbara verktyg gör – gjorde säkerhetsgranskning svårare.
För Project Zero-teamet innebar detta att man betalade ut nära 1 500 USD i licensavgifter, en kostnad som andra, inklusive oberoende forskare, kanske inte har råd med.
“Dessa hinder för säkerhetsforskning betyder sannolikt att Zoom inte undersöks så ofta som det skulle kunna vara, vilket potentiellt leder till att enkla buggar blir oupptäckta”, sa Silvanovich. “Mjukvara med stängd källkod erbjuder unika säkerhetsutmaningar, och Zoom skulle kunna göra mer för att göra deras plattform tillgänglig för säkerhetsforskare och andra som vill utvärdera den.”
I november implementerade Zoom automatiska uppdateringar för programvarans skrivbordsklienter på Windows och macOS, såväl som på mobilen. Den här funktionen var tidigare endast tillgänglig för företagsanvändare.
Tidigare och relaterad täckning
Zoomanvändare? Nu kan du få automatiska programuppdateringar på Windows och Mac
Kritisk zoom-sårbarhet utlöser fjärrkörning av kod utan användarinmatning
Zooma för att förnya bugg-bounty-programmet, ta in fler säkerhetsexperter
Ha en tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter