Các nhà nghiên cứu tại Tenable hôm thứ Năm cho biết lỗ hổng tồn tại trong các dòng tin nhắn sự kiện của Zoom. Lỗ hổng bảo mật, CVE-2018-15715, là nghiêm trọng nhất với 9,9 điểm trong hệ thống đánh giá lổ hổng CVSS 3.0.
Nhà nghiên cứu David Wells của Tenable cho biết “Lỗ hổng này có thể được khai thác trong một vài trường hợp: 1) một người tham dự cuộc họp Zoom có thể bị lừa đảo; 2) kẻ tấn công trên mạng LAN hoặc 3) kẻ tấn công từ xa trên mạng diện rộng (WAN) có thể sử dụng lỗ hổng này để xâm nhập vào một cuộc họp Zoom đang diễn ra”.
Lỗ hổng là do lỗi trong tin nhắn nội bộ của Zoom, một cơ chế mà Zoom sử dụng để chờ và gửi tin nhắn trong chương trình. Các dòng tin này gửi được gửi từ giao thức người dùng của máy khách và giao thức điều khiển truyền tải máy chủ đến cùng một trình xử lý tin nhắn.
Điều đó có nghĩa là kẻ tấn công từ xa có khả năng tạo và gửi tin nhắn giao thức dữ liệu người dùng UDP, và hệ thống sẽ hiểu đây là tin nhắn đáng tin cậy được sử dụng bởi máy chủ Zoom được ủy quyền.
Wells cho biết “Cuộc tấn công này không chỉ có thể được thực hiện bởi những người tham dự cuộc họp Zoom, mà còn từ bất kỳ kẻ tấn công từ xa nào có thể tạo ra một gói tin nhắn giao thức dữ liệu người dùng UDP giả mạo, sau đó xâm nhập vào phiên UDP hiện tại của một cuộc họp Zoom đang diễn ra và kích hoạt cuộc tấn công”.
Từ đó, kẻ tấn công có thể khởi động một loạt các chức năng độc hại bao gồm chiếm quyền điều khiển màn hình khi người tham dự từ xa chia sẻ màn hình, hoàn toàn kiểm soát máy tính để bàn; các tin nhắn trò chuyện giả mạo mạo danh người dùng khác trong hội nghị; hoặc đuổi và khóa người tham dự từ hội nghị.
Đối với 750.000 doanh nghiệp đang sử dụng Zoom, các sự cố này ảnh hưởng không nhỏ đến uy tín của các đơn vị.
Chia sẻ với Threatpost, Wells cho biết “Việc sử dụng rộng rãi và thường xuyên các hệ thống hội nghị trong doanh nghiệp ngày nay cho thấy nguy cơ một loạt các cuộc tấn công có thể xảy ra trên diện rộng”. Các hệ thống hội nghị ngày nay không chỉ gồm âm thanh / video, mà còn chứa các thông tin nhạy cảm hơn, do đó nếu hệ thống bị xâm nhập, ảnh hưởng sẽ rất nghiêm trọng”.
Các hệ thống bị ảnh hưởng bao gồm Zoom 4.1.33259.0925 cho macOS và Windows 10, cũng như Zoom 2.4.129780.0915 cho Ubuntu. Điều này tác động đến cả các cuộc họp trực tiếp (P2P) cũng như các cuộc họp nhóm được truyền qua máy chủ Zoom.
Zoom đã sửa các máy chủ của mình để chặn một phần các cuộc tấn công. Công ty đã phát hành các phiên bản cố định cho Windows và macOS (4.1.34814.1119 sửa lỗ hổng trong Windows và phiên bản 4.1.34801.1116 cho macOS); Bản cập nhật mới nhất cho hệ điều hành Linux không khắc phục được sự cố và Zoom báo cáo đang hoạt động trên bản cập nhật.