Исследователи кибербезопасности из компании «CheckPoint» раскрыли порталу «The Hacker News» детали незначительной, но простой в использовании уязвимости, которая обнаружена в Zoom», очень популярном и широко используемом программном обеспечении для видеоконференций.
Последняя уязвимость в Zoom позволяет злоумышленникам имитировать видеоконференцию организации, обмануть ее сотрудников или деловых партнеров и раскрыть личную или другую конфиденциальную информацию.
Мы знаем, что атаки с применением социальной инженерии могут показаться немного скучными, но кто-то использовал ее, чтобы недавно взбаламутить Twitter. Когда сотни известных аккаунтов в Твиттере были взломаны для осуществления мошенничества с криптовалютой благодаря скомпрометированной внутренней учетной записи сотрудника Twitter.
Уязвимость находится в настраиваемой функции URL Zoom называемой «Vanity URL». Эта функция позволяет компаниям создать собственный URL на своем поддомене и фирменной странице, например «yourcompany.zoom.us». Ссылка на приглашение с применением «Vanity URL» выглядит как «https : //organization_name.zoom.us/j/##########» вместо обычного формата «https://zoom.us/j/##########».
Команда «CheckPoint» обнаружила что из-за неправильной проверки аккаунта любой идентификатор собрания мог быть запущен с использованием Vanity URL-адреса любой организации, даже если собрание было создано учетной записью, не относящейся к компании-владельцу поддомена.
«Проблема безопасности заключена в функциональности поддомена» - сообщили исследователи. «Существует несколько способов войти в собрание, содержащее поддомен, в том числе использовать прямую ссылку на поддомен с идентификатором собрания или использовать настроенный веб-интерфейс поддомена организации».
Злоумышленники могут использовать эту лазейку двумя способами:
- Атака с помощью прямых ссылок: хакер может изменить URL-адрес приглашения, например «https://zoom.us/j/##########», чтобы включить зарегистрированный поддомен по своему выбору, например «https: // <название организации> .zoom.us / j / ##########», при настройке собрания. Получив эту ссылку приглашения, пользователь может попасть в ловушку злоумышленника, полагая, что приглашение было подлинным и было отправлено реальной организацией.
- Атака на выделенные веб-интерфейсы Zoom: поскольку в некоторых организациях имеется веб-интерфейс Zoom для конференц-связи, хакер может настроить неотличимый фишинговый вариант веб-интерфейса с помощью Vanity URL и попытаться перенаправить пользователя на прочие вредоносные страницы.
Подобные проблемы могут привести к успешным попыткам фишинга, позволяя злоумышленникам выдавать себя за законного сотрудника компании. Это дает широкие возможности для кражи учетных данных, конфиденциальной информации и совершения других мошеннических действий.
Исследователи «CheckPoint» сообщили об этой проблеме «Zoom Video Communications Inc.», совместно работали над ее решением и в итоге были приняты дополнительные меры для защиты пользователей.
«Поскольку Zoom стал одним из ведущих в мире каналов связи для предприятий, правительств и потребителей, крайне важно, чтобы атакующие не могли использовать Zoom в преступных целях», - заявил Ади Икан, руководитель группы «Check Point Research», в интервью «The Hacker News».
«В сотрудничестве со службой безопасности Zoom, мы помогли предоставить пользователям во всем мире более безопасный, простой и надежный способ общения, чтобы они могли в полной мере пользоваться преимуществами сервиса».
Ранее в этом году специалисты «Check Point Research» также сотрудничали с Zoom в целях исправления серьезной ошибки конфиденциальности, которая могла позволить незваным людям присоединяться к частным встречам и удаленно прослушивать личные аудио-, видео- и документы, которыми обмениваются участники на протяжении всей сессии.
Из-за продолжающейся вспышки коронавируса, использование программного обеспечения для видеоконференций Zoom резко возросло - с 10 миллионов участников ежедневных собраний в декабре 2019 года до более 300 миллионов в апреле 2020 года. Подобный рост популярности приложения всегда привлекателен для киберпреступников.
Буквально на прошлой неделе Zoom исправил 0-day уязвимость во всех поддерживаемых версиях клиента Zoom для Windows. Уязвимость могла позволить злоумышленнику выполнить произвольный код на компьютере жертвы под управлением Microsoft Windows 7 или более ранней версии.
В прошлом месяце Zoom устранил две критические уязвимости безопасности в своем программном обеспечении для проведения видеоконференций для компьютеров под управлением Windows, macOS или Linux, которые могли позволить злоумышленникам взломать системы участников группового чата.
В апреле различными исследователями также была выявлена серия проблем безопасности в Zoom, что повысило озабоченность вопросами безопасности видеоконференций миллионами пользователей.
Перевод сделан со статьи https://thehackernews.com/