2.04.20203 min

Redakcja Bulldogjob

Coraz więcej wykrytych luk w zabezpieczeniach Zooma

Liczba wykrytych luk w zabezpieczeniach Zooma rośnie z dnia na dzień, dlatego firma zdecydowała się, że przez następne 90 dni zawiesi rozwój nowych funkcji i będzie pracować nad eliminacją szkodliwych bugów.

Coraz więcej wykrytych luk w zabezpieczeniach Zooma

Wraz z rosnącą popularnością Zooma, rośnie też liczba exploitów tej aplikacji, które pojawiając się praktycznie codziennie. Na Windowsie, na przykład, hakerzy mogą wykorzystać lukę, która pozwala na kradzież danych z zaatakowanego systemu operacyjnego, a na Macu można ponownie przejąć kamerkę, mikrofon oraz uzyskać dostęp na poziomie roota. Co więcej, Zoom zdecydował się na łatanie bugów pełną parą przez następne 90 dni, kosztem rozwoju nowych funkcji.

Przyjrzymy się bardziej szczegółowo sytuacji Zooma na Windowsie oraz Macu, oraz zobaczmy, co na ten temat mówią zainteresowani. 


Zoom na Windowsie

Cyberprzestępcy używają okna czatu w Zoomie do wysyłania ciągów tekstów reprezentujących lokalizację sieci na danym Windowsie. Zoom na Windowsie automatycznie konwertuje te tak zwane ciągi typu Universal Naming Convention (np. \\attacker.example.com/C$) w klikalne linki. W przypadku, w którym użytkownicy są w niezabezpieczonej sieci i kilkną taki link to Zoom automatycznie wyśle takie dane jak nazwy użytkowników oraz hashe NTLM do adresu, który jest zawarty w linku. Nie wiadomo jednak po co Zoom pozwala na otwieranie tych linków - tworzy to niepotrzebne ryzyko.

Hakerzy mogą uzyskać wtedy dostęp do zasobów sieciowych, takich jak Active Directory czy Outlook. Zasoby w sieci Windows akceptują skrót NTLM podczas uwierzytelniania urządzenia, więc nie trzeba wcale znać oryginalnego hasła i hash w zupełności tutaj wystarczy.


Zoom na MacOS

Natomiast systemy MacOS są ponownie podatne na ataki mające na celu uzyskanie dostępu na poziomie roota, jak również dostęp do kamery i mikrofonu danego urządzenia. 

Aby uzyskać dostęp na poziomie roota, atak musi być lokalny. To utrudnia sprawę, ale też sam atak jest bardzo prosty. Haker musi zmienić lub podmienić skrypt, który jest wykonywany z podniesionymi uprawnieniami podczas instalacji lub aktualizacji Zooma. Możliwość takiego ataku wynika z tego, że instalator Zooma wykorzystuje API AuthorizationExecuteWithPrivilages, co samo w sobie jest nieco podejrzane.

To jednak nie wszystko. Jest jeszcze drugi exploit, który pozwala na przejęcie kontroli nad kamerą oraz mikrofonem. Zoom ma “wyjątek”, który pozwala na umieszczenie szkodliwego kodu w process space. Kod ten może następnie przejąć kontrolę nad kamerą i mikrofonem i pozwolić atakującemu na nagrywanie wideokonferencji bez informowania o tym użytkownika.

To kolejny raz, kiedy Zoom pozwala na nieautoryzowany dostęp do kamery, pisaliśmy o takim przypadku w 2019 roku.


Zoom łata bugi

Powyższe exploity to tylko 3 przykłady luk, o których dowiedzieliśmy się w ostatnich dniach. Dodatkowo Zooma obecnie używa każdego dnia 200 mln użytkowników. To sprawia, że program ten staje się globalnym zagrożeniem dla bezpieczeństwa komputerów.

W tej sytuacji CEO Zooma, Eric Yuan postanowił, że przez kolejne 90 dni firma zawiesza pracę nad nowymi funkcjami i skupi się na naprawianiu bugów, poprawianiu bezpieczeństwa aplikacji oraz zaadresowaniu problemów z prywatnością (np. wysyłaniem danych facebookowi, również w przypadku niezalogowanych użytkowników, o czym pisaliśmy w zeszłym tygodniu). Dlatego możemy spodziewać się wielu aktualizacji w kolejnych dniach. Dodatkowo ulepszony ma zostać program bug bounty, by w szukanie luk zaangażowała się również społeczność.

Miejmy nadzieję, że Zoom sprosta wyzwaniom, jakie spotkały firmę i będziemy mieli do dyspozycji nie tylko bezproblemowe, ale też bezpieczne narzędzie do wideokonferencji.

<p>Loading...</p>

Dziel się wiedzą ze 160 tysiącami naszych czytelników

Zostań autorem Readme

Simple SA

Java Developer (Mid/Senior)

medium

7 000 - 15 000 PLN

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 26.02.2022

Dobrze
JavaSpringSpring Boot

Asseco Poland S.A.

Administrator / Starszy Administrator Systemów IT

medium

Brak widełek

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 26.02.2022

Dobrze
PostgreSQLBash

Nokia

5G Automation Engineer, IODT

medium

Brak widełek

Umowa o pracę

Wrocław

Praca zdalna 100%

Ważna do 13.03.2022

Divante

Senior Vue.js Developer

senior

15 300 - 23 500 PLN

Kontrakt B2BUmowa o pracę

Wrocław

Praca zdalna 100%

Ważna do 13.03.2022

Dobrze
JavaScriptTypeScriptVue.js

T-Mobile Polska S. A.

Frontend Developer

medium

Brak widełek

Kontrakt B2B

Warszawa

Ważna do 26.02.2022

Bardzo dobrze
ReactReduxNode.js

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert for Risk Applications

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
SQLMS Office
Początkująco
SAS / R / Python

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert with German for Risk Analytics

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
MS Office
Początkująco
SQL / VBA / PythonQlik Sense / Qlik View / Arcadia

Hitachi Energy

Quality Assurance Engineer

medium

8 000 - 14 000 PLN

Umowa o pracę

Kraków

Ważna do 26.02.2022

Dobrze
automation testing .NET CoreSelenium
Początkująco
MS SQL

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert with German for Risk Applications

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
MS OfficeSQL
Początkująco
SAS / R / Python