Eksperti ir atraduši Zoom ievainojamības, kas ļauj nolaupīt datoru bez viena klikšķa

Ievainojamības atklāja programmatūras uzņēmuma Computest Security pētnieki Daan Keuper un Thijs Alkemade.

kiberdrošība un riska pārvaldībahakeru konkurss Pwn2Own 2021, ko organizē Zero Day Initiative. Lai gan par ievainojamību nav zināms daudz detaļu, būtībā pētnieki izmantoja trīs kļūdu ķēdi Zoom darbvirsmas versijā, lai mērķa sistēmā veiktu attālu koda izpildes izmantošanu.

Lietotājam nekas nebija jāklikšķina, lai uzbrukums veiksmīgi pārņemtu viņa datoru. Kļūda ir parādīta tālāk esošajā darbībā.

Saskaņā ar MalwareBytes Labs teikto, uzbrukumam ir jānāk nono pieņemtas ārējās kontaktpersonas vai būt daļai no tā paša organizācijas konta. Tas ietekmēja arī Zoom Chat, uzņēmuma ziņojumapmaiņas platformu, taču neietekmēja sesijas tērzēšanu Zoom sapulcēs un Zoom video tīmekļsemināros.

Keuper un Alkemad ieguva $ 200 par savu atklājumu000. Šī bija pirmā reize, kad konkursā tika iekļauta korporatīvās komunikācijas kategorija — ņemot vērā pandēmiju, nav pārsteigums, kāpēc Zoom bija pasākuma dalībnieks un sponsors.

Paziņojumā, kurā tika paziņots par Kūpera un Alquemade uzvaru, uzņēmumsComputest ziņoja, ka pētnieki varēja gandrīz pilnībā kontrolēt mērķa sistēmas, veicot tādas darbības kā kameras ieslēgšana, mikrofona izslēgšana, e-pasta lasīšana, ekrāna pārbaude un pārlūkprogrammas vēstures lejupielāde.

Zoom pagājušajā gadā iekļuva virsrakstosdažādu ievainojamību dēļ. Tomēr tas galvenokārt attiecās uz pašas lietojumprogrammas drošību, kā arī iespēju skatīt un klausīties kopā ar videozvaniem. Mūsu atklājumi ir vēl nopietnāki. Klienta ievainojamība ļāva mums pārņemt no lietotājiem visu sistēmu, ”teikts Kūpera paziņojumā.

Skatiet arī:

- Šifrēšanai tika izmantots cilvēka roku infrasarkanais starojums

- Izveidoja pirmo precīzo pasaules karti. Kas vainas visiem pārējiem?

- Nāves ielejā tika atrastas baktērijas, kuras evolūcijas stagnācijā bija miljoniem gadu