Еще минувшей весной встречи в Zoom по умолчанию были защищены шестизначным кодом, а значит, что существовало 1 млн возможных комбинаций.
При этом отсутствовало ограничение на количество попыток ввода пароля в web-клиенте Zoom, и это позволяло злоумышленникам быстро подбирать коды доступа, используемые для защиты встреч.
По словам специалиста компании SearchPilot Тома Энтони (Tom Anthony), встречи в Zoom по умолчанию были защищены шестизначным кодом, а значит, что существовало 1 млн возможных комбинаций. На перебор такого количества кодов в поисках нужного у злоумышленника уйдет всего несколько минут. Так как повторяющиеся встречи имеют один и тот же код, его достаточно взломать лишь один раз.
На взлом кода у самого Энтони ушло 25 минут. Для этого ему потребовалась машина AWS и 91 тыс. попыток.
В настоящий момент проблема уже решена: Энтони уведомил производителя о проблеме 1 апреля 2020 года и предоставил PoC-эксплоит на базе Python. 2 апреля web-клиент Zoom был отключен для исправления уязвимости. Спустя неделю компания решила проблему, введя обязательную авторизацию для пользователей перед подключением к встрече в web-клиенте и обновив пароли по умолчанию, чтобы они не были числовыми и были длиннее.
Ранее в июле обнаружили еще две уязвимости в Zoom. Одна из критических уязвимостей позволяла злоумышленнику удаленно выполнить код на компьютере, где установлен уязвимый клиент Zoom для Windows.
Проблема затрагивает только пользователей устаревших версий ОС от Microsoft, в частности Windows 7, Windows Server 2008 R2 и более ранних. Пользователям Windows 8 и Windows 10 беспокоиться не о чем.
Другая дыра, обнаруженная Check Point, позволяла злоумышленникам выдавать себя за легитимные организации, обманывая их сотрудников или деловых партнеров с целью хищения персональной или другой конфиденциальной информации путем социальной инженерии.
Проблема содержится в настраиваемой функции под названием Vanity URL, с помощью которой компании могут создавать собственные URL-адреса на своем поддомене и фирменной целевой странице, такой как «yourcompany.zoom.us», где ссылка на приглашение на конференцию будет выглядеть как https : //organization_name.zoom.us/j/########## (https://organization_name.zoom.us/j/#%23%23%23%23%23%23%23%23%23) вместо обычного формата https: // zoom(.)us/j/##########.
Злоумышленник мог пригласить жертву присоединиться к сеансу через специальный web-сайт, и жертва не имела бы возможности узнать, что приглашение на самом деле пришло не от легитимной организации.
Читайте также на АКБ:
