Vulnérabilité De Zoom

Dans un rapport partagé avec The Hacker News, les chercheurs de la firme de cybersécurité CheckPoint ont dévoilé aujourd’hui les détails d’une faille mineure mais facile à exploiter qu’ils ont signalée dans Zoom, le logiciel de vidéoconférence très populaire et largement utilisé.

La dernière faille de Zoom aurait pu permettre aux attaquants d’imiter une organisation, incitant ses employés ou partenaires commerciaux à révéler des informations personnelles ou confidentielles à l’aide d’astuces d’ingénierie sociale.

Nous savons que les attaques d’ingénierie sociale peuvent sembler un peu ennuyeuses, mais quelqu’un a utilisé la même chose pour mettre le feu à Twitter hier soir lorsque des centaines de comptes Twitter de haut niveau ont été piratés pour promouvoir une arnaque de crypto-monnaie, tout cela grâce au compte d’outillage interne compromis d’un employé .

Cette vulnérabilité réside dans la fonctionnalité d’URL personnalisable de Zoom baptisée Vanity URL, visant à permettre aux entreprises de créer une URL personnalisée sur son sous-domaine et sa page de destination de marque, comme « yourcompany.zoom.us,« où le lien d’invitation à une réunion ressemble alors à https://organization_name.zoom.us/j/##########, au lieu de régulier https://zoom.us/j/########## format.

L’équipe CheckPoint a constaté qu’en raison d’une validation de compte incorrecte, tout ID de réunion aurait pu être lancé à l’aide de l’URL personnalisée de n’importe quelle organisation, même si une réunion avait été organisée par un compte individuel distinct.

Publicité

« Le problème de sécurité se concentre sur les fonctionnalités du sous-domaine », les chercheurs ont dit. « Il existe plusieurs façons d’entrer dans une réunion contenant un sous-domaine, notamment en utilisant un lien de sous-domaine direct contenant l’ID de réunion, ou en utilisant l’interface utilisateur Web personnalisée du sous-domaine de l’organisation. »

Les attaquants peuvent exploiter cette faille de deux manières:

  • Attaque via des liens directs: un pirate peut modifier l’URL d’invitation, telle que https://zoom.us/j/##########, pour inclure un sous-domaine enregistré de son choix, comme https: //.zoom.us / j / ##########, lors de la configuration d’une réunion. Un utilisateur recevant ce lien d’invitation peut tomber sous le piège de l’attaquant, pensant que l’invitation était authentique et émise par une véritable organisation.
  • Attaquer les interfaces Web Zoom dédiées: Étant donné que certaines organisations ont leur interface Web Zoom pour les conférences téléphoniques, un pirate pourrait également cibler une telle interface et tenter de rediriger un utilisateur pour entrer un ID de réunion dans l’URL Vanity malveillante plutôt que dans l’interface Web Zoom réelle et rejoignez la session Zoom correspondante.

L’impact de ce problème peut conduire à une tentative de phishing réussie, permettant aux attaquants de se faire passer pour un employé légitime de l’entreprise, ce qui leur permet potentiellement de voler des informations d’identification et des informations sensibles et de mener d’autres actions de fraude.

YouTube video

Les chercheurs de Check Point ont divulgué le problème de manière responsable à Zoom Video Communications Inc. et ont travaillé ensemble pour le résoudre et mettre en place des garanties supplémentaires pour la protection des utilisateurs.

« Parce que Zoom est devenu l’un des principaux canaux de communication au monde pour les entreprises, les gouvernements et les consommateurs, il est essentiel d’empêcher les acteurs de la menace d’exploiter Zoom à des fins criminelles », a déclaré à The Hacker News Adi Ikan, chef de groupe chez Check Point Research.

« En collaboration avec l’équipe de sécurité de Zoom, nous avons aidé Zoom à offrir aux utilisateurs du monde entier une expérience de communication plus sûre, plus simple et fiable afin qu’ils puissent profiter pleinement des avantages du service. »

Plus tôt cette année, Check Point Research a également travaillé avec Zoom pour corriger un grave bogue de confidentialité qui aurait pu permettre à des personnes non invitées de participer à des réunions privées et d’écouter à distance l’audio, la vidéo et les documents privés partagés tout au long de la session.

En raison de l’épidémie de coronavirus en cours, l’utilisation du logiciel de visioconférence Zoom a grimpé en flèche, passant de 10 millions de participants aux réunions quotidiennes en décembre 2019 à plus de 300 millions en avril 2020, ce qui en fait la cible préférée des cybercriminels.

La semaine dernière, Zoom a corrigé une vulnérabilité zero-day dans toutes les versions prises en charge du client Zoom pour Windows qui aurait pu permettre à un attaquant d’exécuter du code arbitraire sur l’ordinateur d’une victime exécutant Microsoft Windows 7 ou une version antérieure.

Le mois dernier, Zoom a corrigé deux vulnérabilités de sécurité critiques dans son logiciel de visioconférence pour les ordinateurs Windows, macOS ou Linux qui auraient pu permettre à des attaquants de pirater à distance les systèmes des participants de conversation de groupe ou d’un destinataire individuel.

En avril, une série de problèmes ont été découverts et signalés dans Zoom, ce qui a soulevé des problèmes de confidentialité et de sécurité concernant le logiciel de visioconférence parmi des millions de ses utilisateurs.

Rate this post
Publicité
Article précédentTraduire d’anciens hiéroglyphes avec le nouvel outil de Google alimenté par l’IA
Article suivantAnnonce d’un financement fédéral pour la technologie des voitures électriques lors de la visite de GM
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici