image

Zoom-lek maakte het mogelijk om systeem via malafide chatbericht over te nemen

dinsdag 24 mei 2022, 22:08 door Redactie, 0 reacties

Door middel van een reeks kwetsbaarheden in videoconferentiesoftware Zoom was het mogelijk voor aanvallers om alleen door het versturen van een malafide chatbericht systemen van gebruikers over te nemen. Er was geen interactie van slachtoffers vereist, alleen het versturen van een speciaal geprepareerd bericht via het XMPP-protocol naar een gebruiker was voldoende. Dat meldt Google-onderzoeker Ivan Fratric die het beveiligingslek ontdekte.

Het probleem werd veroorzaakt doordat de Zoom-client en de Zoom-server andere software gebruiken voor het verwerken van XML-code die via het XMPP-protocol wordt verstuurd. De inconsistentie in de manier waarop de client- en serversoftware met XML-code omgaan maakte het mogelijk voor een aanvaller om de Zoom-client van het slachtoffer verbinding te laten maken met een server van de aanvaller, waardoor er een man-in-the-middle-situatie ontstaat. Hiervoor hoeft een aanvaller alleen een bericht te versturen, het slachtoffer hoeft verder niets te doen.

De Zoom-client zoekt periodiek naar updates op de Zoom-webserver, die vervolgens een locatie teruggeeft waar de eventueel beschikbare update is te downloaden. Doordat het malafide chatbericht ervoor zorgt dat de Zoom-client van het slachtoffer verbinding maakt met de server van de aanvaller, kan die een malafide update aanbieden. De Zoom-update bestaat uit een installer.exe en een .cab-bestand. De Zoom-client controleert echter of installer.exe digitaal is gesigneerd door Zoom. Daarnaast controleert installer.exe de hash van het .cab-bestand voordat de inhoud wordt uitgepakt. Dit moet het installeren van malafide updates voorkomen.

Frantic ontdekte dat hij deze beperkingen kon omzeilen door middel van een downgrade-aanval. Wanneer de Zoom-client van het slachtoffer naar een update zoekt biedt Frantic de installer.exe en het .cab-bestand van Zoom versie 4.4 aan. De installer van deze versie is nog steeds digitaal gesigneerd, maar controleert niet het .cab-bestand. Daardoor is het mogelijk om de inhoud van het .cab-bestand door malware te vervangen die vervolgens door de Zoom-client van het slachtoffer wordt uitgevoerd.

De in totaal vier kwetsbaarheden (CVE-2022-22784, CVE-2022-22785, CVE-2022-22786 en CVE-2022-22787) werden begin februari door de Google-onderzoeker aan Zoom gerapporteerd. Dezelfde maand kwam Zoom met een oplossing aan de serverkant. Eind april verscheen er een update voor de Zoom-client (5.10.4). Frantic merkt op dat de aanval is gedemonstreerd tegen de Windows-versie van Zoom, maar dat mogelijk een deel of de gehele aanval ook tegen andere platforms werkt.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.