Vulnerabilità critiche in Zoom permettono di hackerare chat

Se stai usando Zoom, specialmente durante questo periodo difficile per far fronte al tuo impegno scolastico, aziendale o sociale, assicurati di eseguire l’ultima versione del software di videoconferenza molto popolare su computer Windows, macOS o Linux.

Non si tratta dell’arrivo della funzionalità di crittografia end-to-end più attesa, che apparentemente, secondo le ultime notizie, ora sarebbe disponibile solo per gli utenti a pagamento. Invece, questo ultimo avviso riguarda due vulnerabilità critiche recentemente scoperte.
I ricercatori di Cybersecurity di Cisco Talos hanno rivelato oggi di aver scoperto due vulnerabilità critiche nel software Zoom, ciò avrebbe potuto consentire ad aggressori di hackerare i sistemi dei partecipanti alla chat di gruppo o di un singolo destinatario da remoto.
Entrambi i difetti in questione possono essere sfruttati per scrivere o inserire file arbitrari sui sistemi che eseguono versioni vulnerabili del software di videoconferenza per eseguire codice dannoso.

Secondo i ricercatori, lo sfruttamento riuscito di entrambi i bug richiede una scarsa o minima interazione da parte dei partecipanti alla chat vittima e può essere eseguito semplicemente inviando messaggi appositamente predisposti tramite la funzione di chat a un individuo o un gruppo.

La prima vulnerabilità di sicurezza ( CVE-2020-6109 ) risiedeva nel modo in cui Zoom sfrutta il servizio GIPHY, recentemente acquistato da Facebook, per consentire ai suoi utenti di cercare e scambiare GIF animate durante la chat.
I ricercatori hanno scoperto che l’applicazione Zoom non ha verificato se una GIF condivisa si sta caricando o meno dal servizio Giphy, consentendo a un utente malintenzionato di incorporare GIF da un server controllato da un aggressore di terze parti, che eseguono lo zoom in base alla cache di progettazione sul sistema dei destinatari in una cartella specifica associata all’applicazione.
Oltre a ciò, poiché l’applicazione non stava anche controllando i nomi dei file, avrebbe potuto consentire agli aggressori di ottenere l’attraversamento delle directory, inducendo l’applicazione a salvare file dannosi mascherati da GIF in qualsiasi posizione sul sistema della vittima, ad esempio la cartella di avvio.

La seconda vulnerabilità legata all’esecuzione di codice in modalità remota ( CVE-2020-6110 ) risiedeva nel modo in cui le versioni vulnerabili degli snippet di codice del processo di applicazione Zoom vengono condivise tramite la chat.
La funzionalità di chat di Zoom si basa sullo standard XMPP con estensioni aggiuntive per supportare la ricca esperienza utente. Una di quelle estensioni supporta una funzione che include frammenti di codice sorgente con supporto completo per l’evidenziazione della sintassi. La funzione per inviare frammenti di codice richiede l’installazione di un plug-in aggiuntivo, ma non li riceve. Questa funzionalità è implementata come estensione del supporto per la condivisione di file “, hanno detto i ricercatori .

Questa funzione crea un archivio zip dello snippet di codice condiviso prima dell’invio, quindi decomprime automaticamente il file sul sistema del destinatario.
Secondo i ricercatori, la funzione di estrazione del file zip di Zoom non convalida il contenuto del file zip prima di estrarlo, consentendo all’aggressore di installare binari arbitrari su computer target.
Inoltre, un problema del percorso consente al file zip appositamente predisposto di scrivere file all’esterno della directory generata in modo casuale “, hanno detto i ricercatori.
I ricercatori di Cisco Talos hanno testato entrambi i difetti sulla versione 4.6.10 dell’applicazione client Zoom e hanno riferito in modo responsabile alla società.
Rilasciato proprio il mese scorso, Zoom ha corretto entrambe le vulnerabilità critiche con la versione 4.6.12 del suo software di videoconferenza per computer Windows, macOS o Linux.