Popüler video konferans çözümü Zoom için sıfır tıklamalı saldırı yüzeyi araştırması, hizmeti çökertmek, kötü amaçlı kod yürütmek ve hatta belleğinin rastgele alanlarını sızdırmak için kullanılabilecek, daha önce açıklanmayan iki güvenlik açığı ortaya çıkardı.
Google Project Zero’dan Natalie Silvanovich keşfetti ve bildirdi 2 kusurlar Geçen yıl, sorunların hem Zoom istemcilerini hem de istemciler arasında ses ve video içeriği ileten Multimedya Yönlendirici (MMR) sunucularını etkilediğini söyledi. şirket içi dağıtımlar.
Zayıflıklar o zamandan beri Zoom tarafından bir parçası olarak ele alındı. güncellemeler 24 Kasım 2021’de gönderildi.
Sıfır tıklama saldırısının amacı, bir bağlantıya tıklamak gibi kullanıcıdan herhangi bir etkileşim gerektirmeden kurbanın cihazı üzerinde gizlice kontrolü ele geçirmektir.
İstismarın özellikleri, istismar edilen güvenlik açığının doğasına bağlı olarak değişiklik gösterse de, sıfır tıklamalı hack’lerin temel özelliği, kötü niyetli faaliyet izleri bırakmama yetenekleridir ve bu da onları tespit etmeyi çok zorlaştırır.
Project Zero tarafından tanımlanan iki kusur aşağıdaki gibidir:
- CVE-2021-34423 (CVSS puanı: 9.8) – A arabellek taşması hizmeti veya uygulamayı çökertmek veya rastgele kod yürütmek için kullanılabilecek güvenlik açığı.
- CVE-2021-34424 (CVSS puanı: 7.5) – Ürün belleğinin rastgele alanlarına potansiyel olarak içgörü kazandırmak için kullanılabilecek bir süreç belleği teşhir kusuru.
Silvanovich, IP ağları üzerinden ses ve video iletmek için kullanılan RTP (Gerçek Zamanlı Aktarım Protokolü) trafiğini analiz ederek, hatalı biçimlendirilmiş bir sohbet mesajı göndererek farklı veri türlerini okumayı destekleyen bir arabelleğin içeriğini değiştirmenin mümkün olduğunu keşfetti. ve MMR sunucusunun çökmesi.
Ayrıca, bir eksikliğin BOŞ Bir dizenin sonunu belirlemek için kullanılan check – bir web tarayıcısı aracılığıyla bir Zoom toplantısına katılarak bellekten veri sızdırmayı mümkün kıldı.
Araştırmacı ayrıca bellek bozulması kusurunu Zoom’un etkinleştiremediği gerçeğine bağladı. ASLRaka adres alanı düzeni rastgeleleştirme, arabellek taşması saldırılarını gerçekleştirmenin zorluğunu artırmak için tasarlanmış bir güvenlik mekanizması.
Silvanovich, “Zoom MMR sürecinde ASLR’nin olmaması, bir saldırganın onu tehlikeye atması riskini büyük ölçüde artırdı.” Dedi. “ASLR, muhtemelen bellek bozulmasının kötüye kullanılmasını önlemede en önemli azaltıcı önlemdir ve diğer birçok azaltma, etkili olması için bir düzeyde ona güvenir. Yazılımların büyük çoğunluğunda devre dışı bırakılması için iyi bir neden yoktur.”
Çoğu video konferans sistemi, aşağıdakiler gibi açık kaynaklı kitaplıkları kullanırken WebRTC veya PJSIP Multimedya iletişimlerini uygulamak için Project Zero, Zoom’un tescilli formatları ve protokolleri kullanmasının yanı sıra yüksek lisans ücretlerini (yaklaşık 1.500 $) güvenlik araştırmalarının önündeki engeller olarak nitelendirdi.
Silvanovich, “Kapalı kaynaklı yazılım benzersiz güvenlik zorlukları sunuyor ve Zoom, platformlarını güvenlik araştırmacıları ve değerlendirmek isteyen diğer kişiler için erişilebilir kılmak için daha fazlasını yapabilir.” Dedi. “Zoom Güvenlik Ekibi sunucu yazılımına erişmeme ve yapılandırmama yardımcı olurken, diğer araştırmacılar için desteğin mevcut olup olmadığı açık değil ve yazılımı lisanslamak hala pahalıydı.”