Une exploration de la surface d’attaque sans clic pour la solution de visioconférence populaire Zoom a révélé deux vulnérabilités de sécurité jusque-là non divulguées qui pourraient être exploitées pour planter le service, exécuter du code malveillant et même fuir des zones arbitraires de sa mémoire.
Natalie Silvanovich de Google Project Zero, qui découvert et signalé le deux défauts l’année dernière, a déclaré que les problèmes affectaient à la fois les clients Zoom et les serveurs de routeur multimédia (MMR), qui transmettent du contenu audio et vidéo entre les clients dans déploiements sur site.
Les faiblesses ont depuis été corrigées par Zoom dans le cadre de mises à jour expédié le 24 novembre 2021.
L’objectif d’une attaque sans clic est de prendre furtivement le contrôle de l’appareil de la victime sans nécessiter aucune interaction de la part de l’utilisateur, comme cliquer sur un lien.
Bien que les spécificités de l’exploit varient en fonction de la nature de la vulnérabilité exploitée, un trait clé des hacks sans clic est leur capacité à ne pas laisser de traces d’activité malveillante, ce qui les rend très difficiles à détecter.
Les deux défauts identifiés par Project Zero sont les suivants :
- CVE-2021-34423 (Note CVSS : 9,8) – A débordement de tampon vulnérabilité qui peut être exploitée pour planter le service ou l’application, ou exécuter du code arbitraire.
- CVE-2021-34424 (Score CVSS : 7,5) – Un défaut d’exposition de la mémoire de processus qui pourrait être utilisé pour potentiellement avoir un aperçu de zones arbitraires de la mémoire du produit.
En analysant le trafic RTP (Real-time Transport Protocol) utilisé pour fournir de l’audio et de la vidéo sur les réseaux IP, Silvanovich a découvert qu’il était possible de manipuler le contenu d’un tampon prenant en charge la lecture de différents types de données en envoyant un message de chat malformé, entraînant le client et le serveur MMR à planter.
De plus, l’absence d’un NUL check – qui est utilisé pour déterminer la fin d’une chaîne – a permis de fuir des données de la mémoire en rejoignant une réunion Zoom via un navigateur Web.
Le chercheur a également attribué le défaut de corruption de la mémoire au fait que Zoom n’a pas réussi à activer ASLR, alias randomisation de la disposition de l’espace d’adressage, un mécanisme de sécurité conçu pour augmenter la difficulté d’effectuer des attaques par débordement de mémoire tampon.
« Le manque d’ASLR dans le processus Zoom MMR a considérablement augmenté le risque qu’un attaquant puisse le compromettre », a déclaré Silvanovich. « L’ASLR est sans doute l’atténuation la plus importante pour empêcher l’exploitation de la corruption de la mémoire, et la plupart des autres atténuations en dépendent à un certain niveau pour être efficaces. Il n’y a aucune bonne raison pour qu’elle soit désactivée dans la grande majorité des logiciels. »
Alors que la plupart des systèmes de visioconférence utilisent des bibliothèques open source telles que WebRTC ou PJSIP pour la mise en œuvre des communications multimédias, Project Zero a qualifié l’utilisation par Zoom de formats et de protocoles propriétaires ainsi que ses frais de licence élevés (près de 1 500 $) d’obstacles à la recherche sur la sécurité.
« Les logiciels à source fermée présentent des défis de sécurité uniques, et Zoom pourrait faire plus pour rendre leur plate-forme accessible aux chercheurs en sécurité et à d’autres qui souhaitent l’évaluer », a déclaré Silvanovich. « Bien que l’équipe de sécurité de Zoom m’ait aidé à accéder au logiciel serveur et à le configurer, il n’est pas clair que le support soit disponible pour d’autres chercheurs, et la licence du logiciel était encore coûteuse. »