Nhà nghiên cứu của Google Project Zero phát hiện một lỗi trong phân tích cú pháp XML trên máy khách và máy chủ Zoom.
Zoom đã vá một lỗ hổng ở mức độ trung bình, khuyên người dùng Windows, macOS, iOS và Android cập nhật phần mềm máy khách của họ lên phiên bản 5.10.0.
Ivan Fratric – nhà nghiên cứu bảo mật của Google Project Zero, đã lưu ý trong một báo cáo rằng kẻ tấn công có thể khai thác máy nạn nhân qua một cuộc trò chuyện thu phóng. Lỗi CVE-2022-22787 này xếp hạng mức độ nghiêm trọng CVSS là 5,9.
“Người dùng không cần thiết tương tác để cuộc tấn công thành công. Khả năng duy nhất mà kẻ tấn công cần là có thể gửi tin nhắn cho nạn nhân qua trò chuyện Zoom qua giao thức XMPP”.
Vì vậy, được gọi là các cuộc tấn công bằng không nhấp chuột không yêu cầu người dùng thực hiện bất kỳ hành động nào và đặc biệt mạnh mẽ vì ngay cả những người dùng hiểu biết về công nghệ nhất cũng có thể trở thành con mồi của họ.
XMPP là viết tắt của Extensible Messaging Presence Protocol và được sử dụng để gửi các phần tử XML được gọi là stanzas qua kết nối luồng để trao đổi tin nhắn và thông tin hiện diện trong thời gian thực. Giao thức nhắn tin này được Zoom sử dụng cho chức năng trò chuyện của nó.
Trong bản tin bảo mật do Zoom xuất bản, CVE-2022-22786 (điểm CVSS 7,5) ảnh hưởng đến người dùng Windows, trong khi CVE-2022-22784, CVE-2022-22785 và CVE-2022-22787 ảnh hưởng đến các phiên bản máy khách Zoom trước đó 5.10.0 chạy trên các hệ thống Android, iOS, Linux, macOS và Windows.
Cách hoạt động của lỗi
Lỗ hổng ban đầu được Ivan mô tả là “buôn lậu khổ thơ XMPP” lạm dụng phân tích cú pháp không nhất quán giữa trình phân tích cú pháp XML trong phần mềm máy khách và máy chủ Zoom để “chuyển lậu” các khổ thơ XMPP tùy ý vào máy nạn nhân.
Kẻ tấn công gửi một đoạn văn kiểm soát được chế tạo đặc biệt có thể buộc máy khách nạn nhân kết nối với một máy chủ độc hại, do đó dẫn đến nhiều kiểu tấn công từ giả mạo thông báo đến gửi thông báo kiểm soát.
Ivan lưu ý rằng “vectơ có tác động mạnh nhất” trong lỗ hổng buôn lậu khổ thơ XMPP là việc khai thác “nhiệm vụ ClusterSwitch trong ứng dụng khách Zoom, với ‘miền web’ do kẻ tấn công kiểm soát làm tham số”.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://threatpost.com/zoom-patches-zero-click-rce-bug/179727/
