Експерти знайшли уразливості Zoom, що дозволяють захопити комп'ютер без єдиного натискання

Уразливості були виявлені дослідниками Дааном Кеупером і Тійс Алкемаде з Computest Security, компанії по

кібербезпеки і управління ризиками, в рамкаххакерського конкурсу Pwn2Own 2021, організованого Zero Day Initiative. Хоча про уразливість відомо не так багато подробиць, по суті, дослідники використовували ланцюжок з трьох помилок в десктоп-версії Zoom для виконання експлойта віддаленого виконання коду в цільовій системі.

Користувачеві не потрібно було нічого натискати, щоб атака успішно захопила його комп'ютер. Помилка представлена ​​в дії нижче.

Згідно MalwareBytes Labs, атака повинна виходитивід прийнятого зовнішнього контакту або бути частиною тієї ж облікового запису організації. Це також торкнулося Zoom Chat, платформу обміну повідомленнями компанії, але не вплинуло на внутрісессіонний чат на зборах Zoom і відеовебінарах Zoom.

Кеупер і Алкемад виграли за своє відкриття $ 200000. Це був перший раз, коли в конкурсі була представлена ​​категорія «Корпоративні комунікації» - з огляду на пандемію не дивно, чому Zoom був учасником і спонсором заходу.

У заяві про перемогу Купера і Алькемаде компаніяComputest повідомила, що дослідники змогли практично повністю взяти на себе управління цільовими системами, виконавши такі дії, як включення камери, включення мікрофона, читання електронної пошти, перевірка екрану і завантаження історії браузера.

«В минулому році Zoom потрапив в заголовки газетчерез різні вразливостей. Однак в основному це стосувалося безпеки самого додатки, а також можливості перегляду і прослуховування разом з відеодзвінки. Наші відкриття ще серйозніше. Уразливості в клієнті дозволили нам перейняти у користувачів всю систему », - йдеться в заяві Кеупера.

Читайте також:

- Інфрачервоне випромінювання від рук людини використовували для шифрування

- Створено першу точна карта світу. Що не так з усіма іншими?

- У Долині Смерті знайшли бактерії, які перебували в еволюційному застої мільйони років