Zoom的自定義URL功能很可能是個大漏洞

gejigeji
攻擊者可以偽裝成公司員工,邀請客戶或合作伙伴參加會議,然后使用社會策劃的對話來提取敏感信息。目前Zoom已經(jīng)解決了自定義URL功能中以前未公開的漏洞,該漏洞可能為黑客提供了竊取憑據(jù)或敏感信息的理想的社交工程方式。

攻擊者可以偽裝成公司員工,邀請客戶或合作伙伴參加會議,然后使用社會策劃的對話來提取敏感信息。

目前Zoom已經(jīng)解決了自定義URL功能中以前未公開的漏洞,該漏洞可能為黑客提供了竊取憑據(jù)或敏感信息的理想的社交工程方式。

Zoom和Check Point于周四披露,該安全漏洞存在于Zoom的“自定義URL”功能中,該功能允許公司設置自己的Zoom會議域,即“yourcompany.zoom.us”。公司可以向頁面添加定制的徽標和品牌,最終用戶可以訪問該頁面并單擊該頁面中的會議鏈接到Zoom呼叫。除了設置它的便利驅(qū)動程序外,如果用戶想要打開視頻服務的單點登錄,配置時還需要該特性。

為了發(fā)動攻擊,網(wǎng)絡犯罪分子會偽裝成一個公司的合法雇員,然后表面上從一個組織的自定義URL向目標受害者(客戶、合作伙伴、供應商等)發(fā)送會議邀請。但是,攻擊者實際上將使用邀請URL,該URL包括他們選擇的注冊子域,而不是被欺騙公司的真實自定義URL。

換句話說,如果原始鏈接是https://zoom.us/j/###########,則攻擊者可以將其更改為https://

發(fā)起攻擊的第二種方法是針對專用的Zoom Web界面,Check Point表示:“有些組織有自己的會議縮放Web界面。黑客可能會針對此類界面,并試圖重定向用戶以將會議ID輸入到惡意的自定義URL中,而不是實際或真正的Zoom Web界面中。與直接鏈接攻擊一樣,如果沒有經(jīng)過仔細的網(wǎng)絡安全培訓,此類攻擊的受害者可能無法識別惡意URL,并成為該攻擊的受害者。

最終,攻擊者一旦進入會議鏈接,攻擊者可以繼續(xù)以公司員工的身份,通過詢問某些問題或要求發(fā)送材料,繼續(xù)提取憑證和敏感信息,并執(zhí)行其他欺詐行為。

Check Point并未發(fā)布該漏洞的技術細節(jié),但確實指出“有幾種方法可以進入包含子域的會議,包括使用包含會議ID的直接子域鏈接,或者使用組織定制的子域web UI。

Zoom最終修復了這個問題,從而關閉了漏洞利用的途徑。Check Point的研究人員告訴Threatpost,在修復之前他們并不知道在野外的攻擊。

現(xiàn)在,Zoom已經(jīng)解決了Check Point報告的問題,并采取了其他保護措施來保護其用戶。 Zoom的一名發(fā)言人告訴Threatpost,并補充說該公司并不認為該漏洞是零日漏洞。這位人士繼續(xù)說道:“Zoom鼓勵用戶在參加任何計劃參加的會議之前,都要仔細檢查所有細節(jié),并且只參加他們信任的用戶參加的會議。

Zoom在分析中指出,視頻會議服務在大流行之前已經(jīng)很流行,從政府和商務會議到大學和學校課程,再到家庭聚會,這意味著Zoom的使用量已從2019年12月的1000萬每天的會議參與者猛增到2020年4月的3億多。

隨著Zoom變得如此流行,Zoom出現(xiàn)的漏洞越來越多。上周,流行的視頻服務在Windows的Zoom Client中修復了一個零日漏洞,該漏洞可能允許遠程執(zhí)行代碼。研究人員說,它影響了舊版Windows的用戶,但利用起來卻微不足道。

并且在4月,它解決了Zoom的macOS客戶端版本中發(fā)現(xiàn)的兩個零時差漏洞,這些漏洞可能賦予本地無特權的攻擊者root特權,并允許他們訪問受害者的麥克風和攝像頭。同樣在4月,在地下論壇上發(fā)現(xiàn)了幾個新數(shù)據(jù)庫,共享了大量回收的Zoom憑據(jù)庫。

1月份,Zoom發(fā)布了一系列安全修復程序,后來發(fā)現(xiàn)該公司的平臺使用了弱認證,這使得攻擊者有可能參加活躍的會議。問題源于Zoom的會議鏈接配置,默認情況下不需要“會議密碼”。

在3月和4月,有黑客劫持在線會議,以傳播仇恨言論,例如種族主義信息,性騷擾和色情圖片威脅,這驅(qū)使會議參與者使他們?nèi)∠麉⒓拥臅h。

與隱私有關的其他麻煩也困擾著Zoom,年初Zoom取消了一項功能,該功能因未公開數(shù)據(jù)挖掘,而導致用戶姓名和電子郵件地址遭到攻擊,該功能用于將用戶名和電子郵件地址與他們的LinkedIn個人資料進行匹配。

Zoom使用的爆炸性增長與新域名注冊(包括“Zoom”一詞)的出現(xiàn)相匹配,這表明網(wǎng)絡犯罪分子將Zoom域作為誘餌來誘騙受害者。該公司的安全人員還檢測到了惡意文件,它們冒充了Zoom的安裝程序。

Zoom明白用戶對軟件的安全性和隱私度存在疑慮,他們已經(jīng)成立安全委員會和推出修補程序提升信息安全性能。公司在4月推出90日計劃去強化軟件安全,從而修補最近幾個月出現(xiàn)的漏洞。

Zoom也宣布會在視頻通信加入端到端加密技術,最初會開放給Zoom付費用戶使用,而免費用戶未來也都能得到上述技術的保護。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門