Sécurité Du Zoom

Une vulnérabilité zero-day a été découverte dans le logiciel de visioconférence Zoom pour Windows qui pourrait permettre à un attaquant d’exécuter du code arbitraire sur l’ordinateur d’une victime exécutant Microsoft Windows 7 ou une version antérieure.

Soit dit en passant, si quelqu’un utilise toujours Windows 7, il mérite d’être piraté, y compris de nombreuses organisations sans assistance étendue, car ce n’est qu’une question de temps avant qu’il ne soit victime d’une autre attaque ciblant une autre vulnérabilité zero-day.

N’entrons pas dans le détail pour l’instant car ce sera plus une histoire de conscience et de paresse. Parlons du dernier défaut affectant le logiciel de visioconférence Zoom.

Comment fonctionne la vulnérabilité de zoom?

Pour exploiter avec succès la vulnérabilité de zoom, tout attaquant doit inciter un utilisateur de Zoom à effectuer une action typique comme ouvrir un fichier de document reçu. Aucun avertissement de sécurité n’est déclenché ou affiché à l’utilisateur au moment de l’attaque.

Publicité

La vulnérabilité a été découverte par un chercheur qui l’a signalée à Acros Security, qui a ensuite signalé la faille à l’équipe de sécurité de Zoom plus tôt dans la journée. Le chercheur souhaite rester anonyme.

Bien que la faille soit présente dans toutes les versions prises en charge du client Zoom pour Windows, elle n’est exploitable que sur les systèmes exécutant Windows 7 et les systèmes Windows plus anciens en raison de certaines caractéristiques spécifiques du système.

« Cette vulnérabilité n’est exploitable que sur Windows 7 et les versions antérieures de Windows. Elle est probablement également exploitable sur Windows Server 2008 R2 et versions antérieures, même si nous n’avons pas testé cela », a déclaré Mitja Kolsek, cofondatrice de 0patch, dans un article de blog publié jeudi.

YouTube video

Alors que Microsoft a mis fin à la prise en charge officielle de Windows 7 en janvier et a encouragé les utilisateurs à passer à des versions plus sécurisées du système d’exploitation, Windows 7 est toujours largement utilisé par les utilisateurs et les organisations dans leur ensemble.

Les chercheurs d’Acros Security, les créateurs de 0patch, ont développé un micro correctif pour toutes les versions de Zoom Client pour Windows (à partir de la version 5.0.3 et jusqu’à la dernière version 5.1.2) pour résoudre le problème de sécurité et les ont publiés sur tout le monde gratuitement jusqu’à ce que Zoom Video Communications délivre un correctif de sécurité officiel.

Lorsqu’un utilisateur active 0patch sur son système, le code malveillant envoyé par un attaquant n’est pas exécuté lorsqu’un utilisateur Zoom clique sur le bouton « Démarrer la vidéo ».

« Zoom Client dispose d’une fonctionnalité de mise à jour automatique assez persistante qui est susceptible de maintenir les utilisateurs à domicile à moins qu’ils ne le souhaitent vraiment pas », a déclaré Kolsek.

« Cependant, les administrateurs d’entreprise aiment souvent garder le contrôle des mises à jour et peuvent rester quelques versions derrière, surtout si aucun bogue de sécurité n’a été corrigé dans les dernières versions (ce qui est actuellement le cas). »

Les chercheurs d’Acros Security ont également développé un exploit de preuve de concept fonctionnel pour la vulnérabilité, qu’ils ont partagé avec Zoom et ne publieront pas tant que la société n’aura pas résolu le problème.

Cependant, la firme a publié une démonstration vidéo de preuve de concept qui montre comment un exploit malveillant pour cette vulnérabilité peut être déclenché en cliquant sur le bouton « démarrer la vidéo » dans Zoom Client.

Pas de patch! Que doivent faire les utilisateurs concernés?

Jusqu’à ce que Zoom publie un correctif pour le problème, les utilisateurs peuvent temporairement arrêter d’utiliser le client Zoom sur leurs anciennes versions de Windows ou mettre à jour leur système d’exploitation vers une version plus récente.

Les utilisateurs peuvent également mettre en œuvre micropatch publié par Acros Security, mais comme il provient d’une société tierce de logiciels et non de Zoom lui-même, je ne recommanderais pas de le faire.

En raison de l’épidémie de coronavirus en cours, l’utilisation du logiciel de vidéoconférence Zoom est montée en flèche au cours des derniers mois, car il est utilisé non seulement par les entreprises mais également par des millions d’utilisateurs réguliers à travers le monde pour faire face à la scolarité, aux affaires, à l’engagement social, et ainsi de suite.

La saga ZOOM continue …

Le mois dernier, Zoom a corrigé deux vulnérabilités critiques dans son logiciel de visioconférence pour les ordinateurs Windows, macOS ou Linux qui auraient pu permettre à des attaquants de pirater à distance les systèmes des participants de discussion de groupe ou d’un destinataire individuel.

En avril, une série de problèmes ont été découverts et signalés dans Zoom, ce qui a soulevé des problèmes de confidentialité et de sécurité concernant le logiciel de visioconférence parmi des millions de ses utilisateurs.

Plus tôt cette année, Zoom a également corrigé un grave bogue de confidentialité dans son logiciel qui aurait pu permettre à des personnes non invitées de rejoindre des réunions privées et d’écouter à distance l’audio, la vidéo et les documents privés partagés tout au long de la session.