Уязвимость в конференц-платформе Zoom поставила под угрозу более 4 млн владельцев Мас

Исследователь безопасности Джонатан Лейтшу (Jonathan Leitschuh) раскрыл информацию о серьезной уязвимости в сервисе для организации видеоконференций Zoom, благодаря которой злоумышленники могут удаленно выполнить произвольный код на целевой системе.

Проблема связана с одной из функций в Zoom, которая автоматически активирует приложение, позволяя участникам присоединиться к видеоконференции, кликнув на приглашение в браузере. Как выяснилось, для работы данного функционала Zoom устанавливает на систему web-сервер (порт 19421), который получает команды через запросы HTTPS GET, при этом с сервером может взаимодействовать любой сайт, открытый в браузере. Для компрометации злоумышленнику потребуется всего лишь создать ссылку-приглашение в своей учетной записи на официальном сайте Zoom, встроить ее в сторонний ресурс (изображение или iFrame) и убедить пользователя посетить этот ресурс. Если владелец Мас, на котором установлено ПО Zoom, посетит вредоносный сайт, приложение принудительно запустится на компьютере и активирует web-камеру, подвергая пользователя риску атак.

Примечательно, что деинсталляция Zoom не поможет решить проблему, поскольку web-сервер автоматически переустановит приложение без участия и разрешения пользователя. Помимо активации камеры, злоумышленник может использовать данную уязвимость для вывода Мас из строя, просто отправив большое количество повторяющихся GET запросов на локальный сервер.

Исследователь проинформировал разработчика платформы о проблеме, однако спустя 90 дней компания Zoom не устранила уязвимость. В конечном итоге, отметил Лейтшу, Zoom частично исправила баг, отключив возможность активации камеры, однако проблема, позволявшая атакующему принудительно подключить к конференции посетивших вредоносный сайт по-прежнему остается актуальной.

Описанная выше уязвимость затрагивает последнюю версию Zoom (4.4.4) для macOS. К счастью, пользователи могут решить проблему самостоятельно, отключив в настройках Zoom опцию, автоматически активирующую камеру при подключении к видеоконференции.

Zoom – популярная облачная конференц-платформа, позволяющая проводить видеоконференции, вебинары, online-обучение или виртуальные встречи.

Источник: https://www.securitylab.ru/news/499862.php