Уязвимости были обнаружены исследователями Дааном Кеупером и Тийсом Алкемаде из Computest Security, компании по кибербезопасности и управлению рисками, в рамках хакерского конкурса Pwn2Own 2021, организованного Zero Day Initiative. Хотя об уязвимостях известно не так много подробностей, по сути, исследователи использовали цепочку из трех ошибок в десктоп-версии Zoom для выполнения эксплойта удаленного выполнения кода в целевой системе.
Пользователю не нужно было ничего нажимать, чтобы атака успешно захватила его компьютер. Ошибка представлена в действии ниже.
We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
— Zero Day Initiative (@thezdi) April 7, 2021
Согласно MalwareBytes Labs, атака должна исходить от принятого внешнего контакта или быть частью той же учетной записи организации. Это также затронуло Zoom Chat, платформу обмена сообщениями компании, но не повлияло на внутрисессионный чат на собраниях Zoom и видеовебинарах Zoom.
Кеупер и Алкемад выиграли за свое открытие $200 000. Это был первый раз, когда в конкурсе была представлена категория «Корпоративные коммуникации» — учитывая пандемию неудивительно, почему Zoom был участником и спонсором мероприятия.
В заявлении о победе Купера и Алькемаде компания Computest сообщила, что исследователи смогли практически полностью взять на себя управление целевыми системами, выполнив такие действия, как включение камеры, включение микрофона, чтение электронной почты, проверка экрана и загрузка истории браузера.
«В прошлом году Zoom попал в заголовки газет из-за различных уязвимостей. Однако в основном это касалось безопасности самого приложения, а также возможности просмотра и прослушивания вместе с видеозвонками. Наши открытия еще серьезнее. Уязвимости в клиенте позволили нам перенять у пользователей всю систему», — говорится в заявлении Кеупера.
Читайте также:
— Инфракрасное излучение от рук человека использовали для шифрования
— Создана первая точная карта мира. Что не так со всеми остальными?
— В Долине Смерти нашли бактерии, которые находились в эволюционном застое миллионы лет