Експерти знайшли уразливості Zoom, що дозволяють захопити комп'ютер без єдиного натискання

Уразливості були виявлені дослідниками Daan Keuper і Tijs Alkemade з компанії Computest Security, яка використовує

кібербезпека та управління ризиками, в рамках хакерського конкурсу Pwn2Own 2021, організованого Zero Day Initiative.Хоча відомо не так багато подробиць про вразливості, дослідники, по суті, використовували ланцюжок із трьох помилок у настільній версії Zoom для виконання експлойта віддаленого виконання коду в цільовій системі.

Користувачеві не потрібно було нічого натискати, щоб атака успішно захопила його комп'ютер.Помилка представлена в дії нижче.

За даними MalwareBytes Labs, атака має походити від отриманого зовнішнього контакту або бути частиною облікового запису тієї ж організації.Це також вплинуло на Zoom Chat, платформу обміну повідомленнями компанії, але не вплинуло на чат під час сеансуу Zoom-зустрічах та відеовебінарах Zoom.

Кеупері Алькемад виграв $200 000 за своє відкриття, що стало першим випадком, коли категорія «Корпоративні комунікації» була введена в конкурс – враховуючи пандемію, не дивно, чому Zoom був учасником і спонсором заходу.

У заяві, що оголошує про перемогу Купера та Alquemade, Computest заявила, що дослідники змогли майже повністю взяти під контроль цільові системи, виконуючи такі дії, як увімкнення камери, увімкнення мікрофона, читання електронних листів, перевірка екрана та завантаження історії браузера.

«В минулому році Zoom потрапив в заголовки газетчерез різні вразливостей. Однак в основному це стосувалося безпеки самого додатки, а також можливості перегляду і прослуховування разом з відеодзвінки. Наші відкриття ще серйозніше. Уразливості в клієнті дозволили нам перейняти у користувачів всю систему », - йдеться в заяві Кеупера.

Читайте також:

- Інфрачервоне випромінювання від рук людини використовували для шифрування

- Створено першу точна карта світу. Що не так з усіма іншими?

- У Долині Смерті знайшли бактерії, які перебували в еволюційному застої мільйони років