Zoom, due vulnerabilità consentono attacchi senza interazione da parte dell'utente

Zoom, due vulnerabilità consentono attacchi senza interazione da parte dell'utente

Le vulnerabilità sono già state corrette la scorsa settimana, ma essendo ora di pubblico dominio è consigliato a tutti verificare l'aggiornamento del proprio client

di pubblicata il , alle 15:55 nel canale Sicurezza
Zoom
 

Il team Project Zero di Google ha condiviso i dettagli tecnici di due vulnerabilità critiche che Zoom ha già corretto la scorsa settimana e che possono consentire l'esecuzione di attacchi "zero-click" con l'esecuzione di condice da remoto sui dispositivi su cui si trovano installate le versioni vulnerabili del software di messaggistica.

Le due vulnerabilità, CVE-2022-22786 e CVE-2022-22784, possono aver consentito l'esecuzione di attacchi anche quando la vittima non ha compiuto alcuna particolare azione se non l'apertura del client. "L'interazione dell'utente non è richiesta per il successo di un attacco. L'unica capacità di cui un attaccante ha bisogno è poter inviare messaggi alla vittima tramite la chat Zoom sul protocollo XMPP" spiega Ivan Fratric, il ricercatore di Project Zero che ha studiato il problema.

Fratric spiega che la vulnerabilità iniziale, denominata "XMPP Stanza Smuggling" abusa dell'analisi delle incogruenze tra i parser XLM sul client e sul server di Zoom così da riuscire a "contrabbandare" stanze XMPP arbitrarie al client della vittima. Ciò può consentire di inviare una stanza di controllo appositamente predisposta così da costringere il client del bersaglio a connettersi ad un server controllato dall'attaccante, dando luogo ad un vero e proprio attacco man-in-the-middle.

A questo punto, intercettando e modificando le richieste e le risposte di aggiornamento del client, in una dinamica propria di questa particolare tipologia di attacco, è possibile forzare il client a scaricare ed eseguire un aggiornamento dannoso con conseguente esecuzione arbitraria di codice. Viene eseguito un attacco di downgrade del client per poter ignorare il controllo della firma sul programma di installazione dell'aggiornamento.

Il ricercatore ha verificato la possibilità di eseguire questo attacco sulla versione 5.9.3 di Zoom e su piattaforma Windows a 64-bit, ma è possibile che alcune parti del processo di attacco siano applicabili anche ad altre piattaforme. 

A partire dallo scorso dicembre Zoom ha introdotto sui client macOS e Windows la funzionalità per l'aggiornamento automatico, che in casi come questi si rivela fondamentale poiché consente di mettersi subito al riparo da vulnerabilità che i malintenzionati possono sfruttare a loro vantaggio. E' comunque consigliata a tutti una verifica manuale dell'ultima versione installata e, procedere, nel caso, ad un aggiornamento.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^