Zoom
L’équipe de recherche sur les vulnérabilités Project Zero de Google a détaillé les vulnérabilités critiques que Zoom a corrigées la semaine dernière, permettant aux pirates de mener des attaques sans clic, exécutant à distance du code malveillant sur les appareils exécutant le logiciel de messagerie.
Les vulnérabilités, identifiées comme CVE-2022-22786 et CVE-2022-22784, permettaient de mener des attaques même si la victime ne faisait rien d’autre qu’ouvrir le client. Comme détaillé mardi par le chercheur de Google Project Zero, Ivan Fratric, des incohérences dans la façon dont le client et les serveurs Zoom analysent les messages XMPP ont permis d' »introduire clandestinement » du contenu qui serait normalement bloqué. En combinant ces bogues avec une faille dans le fonctionnement de la vérification de la signature du code de Zoom, Fratric a obtenu une exécution complète du code.
« Aucune interaction de l’utilisateur n’est requise pour une attaque réussie », a écrit le chercheur. « La seule capacité dont un attaquant a besoin est d’envoyer des messages à la victime via le chat Zoom en utilisant le protocole XMPP. » Fratric a poursuivi :
La vulnérabilité initiale (appelée contrebande de strophes XMPP) exploite l’analyse des incohérences entre les analyseurs XML sur le client et le serveur de Zoom pour « faire passer » des strophes XMPP arbitraires au client victime. À partir de là, en envoyant une ligne de contrôle spécialement conçue, l’attaquant peut forcer le client victime à se connecter à un serveur malveillant, transformant cette attaque primitive en une attaque de l’homme du milieu. Enfin, en interceptant/modifiant les requêtes/réponses de mise à jour du client, le client victime télécharge et exécute une mise à jour malveillante, conduisant à l’exécution de code arbitraire. Une attaque de rétrogradation du client est utilisée pour contourner la vérification de la signature du programme d’installation de la mise à jour. Cette attaque a été démontrée contre le dernier client (5.9.3) sur Windows 64 bits, mais certaines ou toutes les parties de la chaîne sont probablement applicables à d’autres plates-formes.
Enfin, en décembre, Zoom est entré dans le 21e siècle en donnant aux clients macOS et Windows la possibilité de se mettre à jour automatiquement. La gravité des vulnérabilités corrigées la semaine dernière souligne l’importance de la mise à jour automatique. Souvent, les pirates auront procédé à une ingénierie inverse de ces mises à jour dans les heures ou les jours suivant leur disponibilité et les utiliseront comme feuille de route d’exploitation. Et pourtant, l’un des ordinateurs que j’utilise régulièrement pour Zoom devait encore installer les correctifs jusqu’à mercredi, lorsque j’ai pensé à sélectionner l’option « Vérifier les mises à jour ».
Pour que mon client Zoom se mette à jour automatiquement, une version intermédiaire devait d’abord fonctionner. Après avoir mis à jour manuellement, la mise à jour automatique était enfin en place. Les lecteurs peuvent vérifier leurs systèmes pour s’assurer qu’ils exécutent également la dernière version.
Les vulnérabilités de zoom post-critiques corrigées la semaine dernière ne nécessitaient pas d’interaction de l’utilisateur sont apparues en premier sur Germanic News.