Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 19. januar 2022 | Emne: Sikkerhed
To sårbarheder, der for nylig blev afsløret til Zoom, kunne have ført til fjernudnyttelse i klienter og MMR-servere, siger forskere.
Tirsdag offentliggjorde Project Zero-forsker Natalie Silvanovich en analyse af sikkerhedsfejlene, resultaterne af en undersøgelse inspireret af et nul-klik-angreb mod videokonferenceværktøjet, som blev demonstreret på Pwn2Own.
“Tidligere havde jeg ikke prioriteret at gennemgå Zoom, fordi jeg troede, at ethvert angreb mod en Zoom-klient ville kræve flere klik fra en bruger,” forklarede forskeren. “Når det er sagt, er det sandsynligvis ikke så svært for en dedikeret angriber at overbevise et mål om at deltage i et Zoom-opkald, selvom det tager flere klik, og den måde, nogle organisationer bruger Zoom på, præsenterer interessante angrebsscenarier.”
Silvanovich fandt to forskellige fejl, et bufferoverløbsproblem, der påvirkede både Zoom-klienter og Zoom Multimedia Routere (MMR'er), og den anden var en informationslækagesikkerhedsfejl, der var central for MMR-servere.
En mangel på Address Space Layout Randomization (ASLR), en sikkerhedsmekanisme til at beskytte mod hukommelseskorruptionsangreb, blev også bemærket.
“ASLR er uden tvivl den vigtigste begrænsning i at forhindre udnyttelse af hukommelseskorruption, og de fleste andre begrænsninger er afhængige af, at den på et eller andet niveau er effektiv,” bemærkede Silvanovich. “Der er ingen god grund til at deaktiveres i langt de fleste software.”
Da MMR-servere behandler opkaldsindhold inklusive lyd og video, siger forskeren, at fejlene er “særligt bekymrende” – og med kompromis ville ethvert virtuelt møde uden ende-til-ende-kryptering aktiveret være blevet udsat for aflytning,
Forskeren fuldførte ikke hele angrebskæden, men har mistanke om, at en beslutsom angriber kunne gøre det givet tid og “tilstrækkelig investering.”
Sårbarhederne blev rapporteret til leverandøren og rettet den 24. november 2021. Zoom har siden aktiveret ASLR.
Det var muligt at finde disse fejl, da Zoom tillader klienter at sætte deres egne servere op; Men den “lukkede” karakter af Zoom – som ikke inkluderer open source-komponenter (såsom WebRTC eller PJSIP), som mange andre sammenlignelige værktøjer gør – gjorde sikkerhedskontrol vanskeligere.
For Project Zero-teamet betød det, at man skulle betale tæt på $1500 i licensgebyrer, en udgift som andre, inklusive uafhængige forskere, måske ikke har råd til.
“Disse barrierer for sikkerhedsforskning betyder sandsynligvis, at Zoom ikke bliver undersøgt så ofte, som det kunne være, hvilket potentielt kan føre til, at simple fejl bliver uopdagede,” sagde Silvanovich. “Lukket kildekode-software giver unikke sikkerhedsudfordringer, og Zoom kunne gøre mere for at gøre deres platform tilgængelig for sikkerhedsforskere og andre, der ønsker at evaluere den.”
I november implementerede Zoom automatiske opdateringer til softwarens desktop-klienter på Windows og macOS samt på mobil. Denne funktion var tidligere kun tilgængelig for virksomhedsbrugere.
Tidligere og relateret dækning
Zoom bruger? Nu kan du få automatiske softwareopdateringer på Windows og Mac
Kritisk Zoom-sårbarhed udløser fjernudførelse af kode uden brugerinput
Zoom for at forny bug-bounty-programmet, få flere sikkerhedseksperter ind
Har en tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre