NOTÍCIAS

[ANONYMOUS][grids]

Pesquisador demonstra várias vulnerabilidades no app zoom no DEF CON 28

O aplicativo de video conferência popular Zoom abordou várias vulnerabilidades de segurança, duas das quais afetam seu cliente Linux que poderia ter permitido a um invasor com acesso a um sistema comprometido ler e exfiltrar dados de usuário do Zoom - e até mesmo executar malware furtivo como um subprocesso de um aplicativo confiável.

De acordo com o pesquisador de cibersegurança Mazin Ahmed , que apresentou suas descobertas na DEF CON 2020 ontem, a empresa também deixou uma instância de desenvolvimento mal configurada exposta que não era atualizada desde setembro de 2019, indicando que o servidor pode ser suscetível a falhas que não foram corrigidas.





Depois que Ahmed relatou em particular os problemas ao Zoom em abril e, posteriormente, em julho, a empresa emitiu uma correção em 3 de agosto (versão 5.2.4).

É importante notar que para alguns desses ataques acontecerem, um invasor precisaria já ter comprometido o dispositivo da vítima por outros meios. Mas isso não tira o significado das falhas.




Em um cenário, Ahmed descobriu um problema com o Zoom Launcher para Linux que poderia permitir que um adversário executasse software não autorizado devido à maneira como ele inicia o executável "zoom".

"Isso quebra toda a proteção da lista de permissões de aplicativos, permite que o malware seja executado como um subprocesso de um fornecedor confiável (Zoom) e é uma prática de design / segurança ruim por todos os meios", disse Ahmed em uma análise.



Isso não é tudo. Da mesma forma, um invasor com acesso à máquina da vítima pode ler e exfiltrar dados e configurações do usuário do Zoom navegando para o banco de dados local e até mesmo acessando mensagens de chat armazenadas no sistema em formato de texto simples.

Duas outras falhas envolveram um serviço de autenticação Kerberos acessível externamente ("ca01.idm.meetzoom.us") e um problema de TLS / SSL que permite que o malware injete impressões digitais de certificados personalizados no banco de dados Zoom local.

"Isso é por pinagem de certificado de usuário e permite intencionalmente ao usuário permitir certificados personalizados", disse Zoom sobre a falha de injeção de certificado. "O usuário pode gravar em seu próprio banco de dados, mas nenhum outro usuário não root pode. É prática recomendada comum ter aplicativos de usuário executados em seu nível de privilégio, pois exigir que o Zoom seja executado como root introduziria riscos de segurança desnecessários para o Zoom e nossos clientes . "

Mas fica mais interessante. Ahmed continuou destacando uma vulnerabilidade de vazamento de memória, explorando o recurso de imagem de perfil no Zoom para fazer upload de uma imagem GIF maliciosa, baixar o arquivo renderizado e extrair dados dele para vazar partes da memória do sistema.





"Após uma investigação interna, concluímos que o comportamento não era um vazamento de memória, mas apenas o melhor esforço do nosso utilitário de imagem para converter um gif malformado em um jpeg", disse a empresa.

Embora Ahmed acredite que isso seja uma consequência de uma falha conhecida no software de conversão de imagens ImageMagick ( CVE-2017-15277 ), a Zoom disse que não usa o utilitário para converter GIFs enviados como fotos de perfil para o formato JPEG.




Em resposta às divulgações, o Zoom desativou o servidor de autenticação Kerberos exposto para evitar ataques de força bruta, ao mesmo tempo em que reconheceu que está trabalhando para resolver a falta de criptografia ao armazenar os logs de bate-papo.

É recomendado que os usuários atualizem o Zoom para a versão mais recente para mitigar qualquer risco decorrente desses problemas.

O desenvolvimento veio enquanto a empresa resolvia uma falha de segurança no mês passado. Ele permitiu que os invasores quebrassem a senha numérica usada para proteger reuniões privadas na plataforma e espionar os participantes.