Experții au descoperit vulnerabilități Zoom care vă permit să vă deturnați computerul fără un singur clic

Vulnerabilitățile au fost descoperite de cercetătorii Daan Keuper și Tiis Alkemade de la Computest Security, a

securitatea cibernetică și gestionarea riscurilor, ca parte aconcurs de hackeri Pwn2Own 2021, organizat de Zero Day Initiative. Deși nu se cunosc prea multe detalii despre vulnerabilități, de fapt, cercetătorii au folosit un lanț de trei erori în versiunea desktop Zoom pentru a executa un exploit de execuție de cod la distanță pe sistemul țintă.

Utilizatorul nu a trebuit să apese nimic pentru ca atacul să își preia computerul cu succes. Eroarea este prezentată în acțiune mai jos.

Încă confirmăm detaliile exploitului #Zoom cu Daan și Thijs, dar iată un gif mai bun al bug-ului în acțiune. # Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW

- Inițiativa Zero Day (@thezdi) 7 aprilie 2021

Potrivit MalwareBytes Labs, atacul ar trebui să provinăde la un contact extern acceptat sau să faceți parte din același cont al organizației. De asemenea, a afectat Zoom Chat, platforma de mesagerie a companiei, dar nu a afectat chat-ul în sesiune la întâlnirile Zoom și la seminariile video Zoom.

Keuper și Alkemad au câștigat 200 de dolari pentru descoperirea lor000. Aceasta a fost prima dată când categoria Comunicări corporative a fost prezentată în competiție - dată fiind pandemia, nu este o surpriză de ce Zoom a fost participant și sponsor al evenimentului.

În anunțul victoriei lui Cooper și Alkemada, companiaComputest a declarat că cercetătorii au reușit să preia controlul aproape complet al sistemelor țintă prin efectuarea de acțiuni precum pornirea camerei, pornirea microfonului, citirea e-mailurilor, verificarea ecranului și descărcarea istoricului browserului.

Zoom a făcut titluri anul trecutdatorită diverselor vulnerabilități. Cu toate acestea, acest lucru se referea în principal la securitatea aplicației în sine, precum și la capacitatea de a vizualiza și asculta împreună cu apelurile video. Descoperirile noastre sunt și mai serioase. Vulnerabilitățile din client ne-au permis să preluăm întregul sistem de la utilizatori ”, a spus Keuper într-un comunicat.

Vezi și:

- Pentru criptare a fost utilizată radiația infraroșie de la mâinile omului

- A creat prima hartă exactă a lumii. Ce este în neregulă cu toți ceilalți?

- În Valea Mortii, s-au găsit bacterii aflate în stagnare evolutivă de milioane de ani