Zoom спуфинг уязвимость Google Project Zero
Обнаруженные исследователем Google Project Zero уязвимости парсинга XML развязывают руки хакерам.
Специалисты Google рекомендуют пользователям Zoom обновить клиенты приложения до версии 5.10.0, чтобы применить исправления ряда уязвимостей, обнаруженных исследователем безопасности Google Project Zero Иваном Фратриком.
«Для успешной атаки даже не нужно взаимодействовать с пользователем напрямую. Злоумышленнику достаточно просто иметь возможность отправлять сообщения жертве по протоколу XMPP в чате Zoom», – сказал Фратрик в описании цепочки уязвимостей.
Изучив отличия в парсинге XMPP-сообщения сервером и клиентами Zoom, Фратрик смог раскрыть цепочку уязвимостей, позволявшую злоумышленникам удаленно выполнять вредоносный код. Решив воссоздать атаку, исследователь отправил специально созданное сообщение, использовал атаку посредника, после чего смог подключить “жертву” к своему серверу, предоставляющему старую версию клиента Zoom середины 2019 года.
«Программа установки для этой версии все еще подписана должным образом, но не выполняет никаких проверок безопасности установочного cab-файла», – добавил Фратрик. «Чтобы продемонстрировать принцип действия атаки, я заменил Zoom.exe в cab-файле на двоичный файл, который открывал стандартный калькулятор Windows, и сразу же после установки «обновления» увидел запустившийся калькулятор».
В опубликованном на прошлой неделе бюллетене безопасности Zoom сообщила, что исследователь также нашел уязвимость, позволяющую отправлять cookie-файлы пользовательской сессии на домен, не принадлежащий компании. Эта уязвимость позволяла злоумышленникам проводить спуфинг-атаки.
Ниже представлен список уязвимостей, исправленных Zoom после отчета Фратрика:
CVE-2022-22786 – позволяет понизить версию клиента Zoom и затрагивает только пользователей Windows;
CVE-2022-22784 ;
CVE-2022-22785 ;
CVE-2022-22787 ;
Три другие уязвимости затрагивают Android, iOS, Linux, macOS и Windows.
Исследователь Google Project Zero обнаружил уязвимости в феврале, в том же месяце Zoom исправила их на стороне сервера, а 24 апреля выпустила обновленные клиенты.