Zoom латает дыру, ведущую к захвату аккаунтов

Zoom уязвимость захват аккаунта повышение привилегий патч безопасность csoonline.com

Zoom обнаружил и исправил критическую уязвимость, допускающую захват учетной записи через сеть без привилегий. Угроза затронула версии для Windows и VDI. Немедленно обновите клиенты до актуальных версий, чтобы предотвратить атаку.

Zoom обнаружил и исправил критическую уязвимость в безопасности, которая «может позволить неаутентифицированному пользователю осуществить захват учетной записи (account takeover) через сетевой доступ».

Проблема особенно значима с учетом широкого охвата Zoom; по данным, сервис насчитывает более 300 миллионов ежедневных активных пользователей, включая 470 000 платящих бизнес-клиентов. Учитывая этот охват, Zoom уже сталкивался с множеством других инцидентов безопасности, а Франция недавно пыталась запретить его использование государственными служащими.

Опубликованные во вторник бюллетени безопасности Zoom раскрыли эту ошибку и три других проблемы безопасности, которые Zoom исправил в среду.

Изначально компания заявила, что проблема захвата затронула Zoom Desktop Client для Windows до версии 7.0.0, Zoom VDI Client для Windows до версий 7.0.10, 6.6.15 и 6.5.18 в соответствующих ветках, а также Zoom Meeting SDK для Windows, однако в среду без объяснения причин удалила Meeting SDK для Windows из списка затронутых продуктов.

Остальные три уязвимости были менее серьезными, но все же значительными, и все они были связаны с повышением привилегий (privilege escalation). Они затронули Zoom Workplace для Windows до версии 7.0.5, Zoom Workplace VDI Client для Windows до версий 6.5.17 и 6.6.14 в соответствующих ветках, Zoom Workplace VDI Plugin для Windows до версий 6.5.17 и 6.6.14 в соответствующих ветках, Zoom Rooms для Windows до версии 7.0.5 и Remote Control для Zoom Contact Center для Windows до версии 7.0.0.

Вторая проблема с повышением привилегий затронула Zoom Rooms для Windows до версии 7.1.0, а третья — Zoom Workplace VDI Plugin для Windows до версии 6.6.14.

Zoom не ответил на запрос о комментариях.

«Хуже некуда»

Фрэнк Диксон, групповой вице-президент по безопасности в IDC, сказал, что характер обнаруженной уязвимости вызывает тревогу.

Эта ошибка «настолько плоха, насколько это возможно, не считая червя (worm). Она эксплуатируется через сеть, имеет низкую сложность, не требует привилегий и взаимодействия с пользователем», — сказал он, отметив, что эксплуатация становится легкой, как только утекут технические детали или кто-то сделает reverse-engineering патча, что теперь не так сложно, как раньше, благодаря ИИ. «Вчерашние script kiddies получили новые возможности», — добавил он.

Диксон сказал, что единственная хорошая новость в том, что Zoom сам обнаружил уязвимость, и что «по состоянию на четверг ни одно издание не сообщило об эксплуатации в реальных условиях (in-the-wild)».

Консультант Брайан Левин, исполнительный директор FormerGov, согласился с характеристикой уязвимости, данной Диксоном, но сказал, что потенциально более серьезной проблемой является высокий уровень конфиденциальных данных, к которым имеет доступ Zoom.

«Злоумышленник, получивший неограниченный доступ к учетной записи Zoom, может прослушивать записи конфиденциальных встреч, подслушивать будущие встречи и выдавать себя за организацию, чтобы с помощью социальной инженерии (social engineering) атаковать ее клиентов и партнеров. Таким образом, учитывая повсеместное использование Zoom в крупных предприятиях, эта уязвимость вызывает серьезные опасения», — сказал Левин.

Однако его обнадеживает то, что Zoom сам обнаружил ошибку, что указывает на то, что его команда безопасности «действительно выполняет сложную и неприметную работу по аудиту своего кода».

Джузеппе Тротта, главный исследователь безопасности в Malwarebytes, выдвинул теорию о том, что стоит за раскрытием Zoom.

«Поскольку уязвимость не требует привилегий и абсолютно никакого взаимодействия с пользователем, вектор атаки через удаленную сеть, скорее всего, связан с неправильной обработкой deep links, таких как пользовательские схемы URL, например zoommtg:// или zoomworkplace://», — сказал он. Это привело его к мысли, что если клиент Zoom Workplace для Windows не выполняет должную очистку и проверку входящих аргументов, передаваемых через эти специальные ссылки между браузером и десктопом, неаутентифицированный злоумышленник может создать вредоносную строку, которая заставит десктопное приложение раскрыть или перенаправить активные токены сессии пользователя напрямую на сервер, контролируемый злоумышленником, что приведет к бесшовному и полностью незаметному захвату учетной записи (account takeover).

«Остерегайтесь ссылок и приглашений Zoom, если вы используете Windows или VDI и еще не обновились», — посоветовал он.

Майк Уилкс, корпоративный CISO в Aikido Security, похвалил Zoom за обнаружение критической ошибки, но захотел узнать, как такая серьезная ошибка вообще попала в их программное обеспечение.

«Эта уязвимость поднимает вопросы о том, почему дефект не был обнаружен на этапе рецензирования дизайна, фаззинга (fuzzing) или предрелизного тестирования сценариев злоупотребления», — сказал Уилкс. «Историческим недостатком в отношениях продукта и безопасности Zoom был приоритет удобства использования над рисками безопасности».

Все четыре уязвимости важны

Джастин Грайс, генеральный директор консалтинговой фирмы Acceligence, сказал, что два типа уязвимостей, о которых сообщил Zoom — захват учетной записи (account takeover) и повышение привилегий (escalation) — важны, но по разным причинам.

«Критическая уязвимость значима, потому что она обладает характеристиками, которые больше всего беспокоят команды безопасности», — сказал Грайс, но уязвимости повышения привилегий «безусловно, важны для исправления, поскольку они в первую очередь увеличивают воздействие уже начавшейся атаки. Критическая уязвимость может стать начальной точкой входа, поэтому она заслуживает наибольшего внимания».

Грайс также похвалил реакцию Zoom, отметив, что она «отражает достаточно зрелую программу безопасности».

Он указал, что ни одна сложная программная платформа не сможет полностью устранить уязвимости. «Различие в том, вкладывают ли поставщики средства в наступательное тестирование, находят ли слабые места раньше злоумышленников и быстро ли разрабатывают и распространяют исправления», — сказал он.

Эта статья первоначально появилась на Computerworld.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: