Vulnerabilità critica senza patch di Zoom per Windows 7 o precedente - Hack Mur@Z

Breaking

lunedì, luglio 13, 2020

Vulnerabilità critica senza patch di Zoom per Windows 7 o precedente

Individuate vulnerabilità nelle videoconferenze Zoom - Tra me & Tech
Nel software di videoconferenza Zoom per Windows è stata rilevata una vulnerabilità "zero-day" che potrebbe consentire a un aggressore di eseguire codice arbitrario sul computer di una vittima con Microsoft Windows 7 o più vecchio.

Per sfruttare con successo la vulnerabilità dello zoom è sufficiente che l'aggressore inganni l'utente di Zoom e lo induca a eseguire alcune azioni tipiche come l'apertura di un file di documento ricevuto. Al momento dell'attacco non viene attivato o mostrato all'utente alcun avviso di sicurezza.
La vulnerabilità è stata scoperta da un ricercatore che l'ha segnalata ad Acros Security, che ha poi segnalato il difetto al team di sicurezza di Zoom in data odierna. Il ricercatore desidera rimanere anonimo.
Sebbene il difetto sia presente in tutte le versioni supportate del client Zoom per Windows, esso è sfruttabile solo su sistemi con Windows 7 e sistemi Windows più vecchi a causa di alcune caratteristiche specifiche del sistema.

"Questa vulnerabilità è sfruttabile solo su sistemi con Windows 7 e versioni precedenti di Windows. Probabilmente è sfruttabile anche su Windows Server 2008 R2 e precedenti, anche se non l'abbiamo testato", ha detto Mitja Kolsek, cofondatore di 0patch.


Mentre Microsoft ha terminato il supporto ufficiale per Windows 7 questo gennaio e ha incoraggiato gli utenti a passare a versioni più sicure del sistema operativo, Windows 7 è ancora ampiamente utilizzato dagli utenti e dalle organizzazioni in generale.
I ricercatori di Acros Security, i creatori di 0patch, hanno sviluppato una micro patch per tutte le versioni di Zoom Client per Windows (a partire dalla versione 5.0.3 e tutte fino all'ultima versione 5.1.2) per affrontare il problema della sicurezza e le hanno rilasciate a tutti gratuitamente fino a quando Zoom Video Communications non fornirà una patch di sicurezza ufficiale.
Quando un utente abilita 0patch sul proprio sistema, il codice maligno inviato da un aggressore non viene eseguito quando un utente di Zoom clicca sul pulsante "Avvia video".
"Zoom Client è dotato di una funzionalità di autoaggiornamento abbastanza persistente che probabilmente terrà aggiornati gli utenti domestici, a meno che non vogliano davvero esserlo", ha detto Kolsek.

"Tuttavia, gli amministratori aziendali spesso amano mantenere il controllo degli aggiornamenti e possono rimanere indietro di un paio di versioni, soprattutto se non sono stati risolti bug di sicurezza nelle ultime versioni (come avviene attualmente)".
I ricercatori di Acros Security hanno anche sviluppato un exploit di proof-of-concept funzionante per la vulnerabilità, che hanno condiviso con Zoom e che non rilasceranno fino a quando l'azienda non risolverà il problema.
Tuttavia, l'azienda ha pubblicato una dimostrazione video di proof-of-concept che mostra come un exploit dannoso per questa vulnerabilità possa essere attivato cliccando sul pulsante "start video" nel client di Zoom.

Niente patch! Cosa devono fare gli utenti interessati?
Fino a quando Zoom non rilascia una soluzione al problema, gli utenti possono temporaneamente smettere di usare il client Zoom sulle loro vecchie versioni di Windows o aggiornare il loro sistema operativo a una versione più recente.

Gli utenti possono anche implementare micropatch rilasciato da Acros Security, ma poiché proviene da una società di software di terze parti e non da Zoom stesso, non raccomanderei di farlo.
A causa dell'epidemia di coronavirus in corso, l'uso del software di videoconferenza Zoom è salito alle stelle negli ultimi mesi, in quanto viene utilizzato non solo dalle imprese, ma anche da milioni di utenti abituali in tutto il mondo per far fronte alla scolarizzazione, al business, all'impegno sociale e quant'altro.

AGGIORNAMENTO: In una dichiarazione fornita a The Hacker News, Zoom ha confermato di aver corretto la vulnerabilità di cui sopra con la versione 5.1.3 del client Zoom.
"Gli utenti possono aiutare a mantenersi sicuri applicando gli aggiornamenti attuali o scaricando l'ultimo software Zoom con tutti gli attuali aggiornamenti di sicurezza da https://zoom.us/download".
La saga di ZOOM continua...
Proprio il mese scorso Zoom ha affrontato due vulnerabilità critiche nel suo software di videoconferenza per computer Windows, macOS o Linux che avrebbero potuto permettere agli aggressori di hackerare i sistemi dei partecipanti alla chat di gruppo o di un singolo destinatario a distanza.
In aprile, una serie di problemi sono stati scoperti e segnalati in Zoom, che hanno sollevato preoccupazioni sulla privacy e la sicurezza del software di videoconferenza tra milioni di utenti.
All'inizio di quest'anno, Zoom ha anche corretto un grave bug sulla privacy nel suo software che avrebbe potuto permettere a persone non invitate di partecipare a riunioni private e di origliare in remoto audio, video e documenti privati condivisi durante la sessione.


thehackernews

Nessun commento:

Posta un commento

Grazie per il tuo commento