L’application de visioconférence populaire Zoom a récemment corrigé une nouvelle faille de sécurité qui aurait pu permettre à des attaquants potentiels de déchiffrer le code numérique utilisé pour sécuriser les réunions privées sur la plate-forme et espionner les participants.
Les réunions Zoom sont par défaut protégées par un mot de passe numérique à six chiffres, mais selon Tom Anthony, VP Produit chez SearchPilot qui identifié le problème, l’absence de limitation de débit a permis à «un attaquant de tenter tous les 1 million de mots de passe en quelques minutes et d’accéder aux réunions Zoom privées (protégées par mot de passe) d’autres personnes».
Il convient de noter que Zoom a commencé exigeant un mot de passe pour toutes les réunions de retour en avril comme mesure préventive pour lutter contre les attentats à la bombe Zoom, qui se réfère à l’acte de perturber et de détourner des réunions Zoom sans être invité à partager du contenu obscène et raciste.
Anthony a signalé le problème de sécurité à l’entreprise le 1er avril 2020, ainsi qu’un script de validation de principe basé sur Python, une semaine après que Zoom a corrigé la faille le 9 avril.
Le fait que les réunions étaient, par défaut, sécurisées par un code à six chiffres signifiait qu’il ne pouvait y avoir qu’un million de mots de passe au maximum.
Mais en l’absence de vérification des tentatives répétées de mot de passe incorrect, un attaquant peut exploiter le client Web de Zoom (https://zoom.us/j/MEETING_ID) pour envoyer en continu des requêtes HTTP pour essayer toutes les combinaisons d’un million.
«Grâce à l’amélioration des threads et à la distribution sur 4 à 5 serveurs cloud, vous pouvez vérifier tout l’espace de mot de passe en quelques minutes», a déclaré Anthony.
L’attaque a fonctionné avec des réunions récurrentes, ce qui implique que les mauvais acteurs auraient pu avoir accès aux réunions en cours une fois que le mot de passe a été déchiffré.
Le chercheur a également constaté que la même procédure pouvait être répétée même avec des réunions planifiées, qui ont la possibilité de remplacer le mot de passe par défaut par une variante alphanumérique plus longue et de l’exécuter sur une liste des 10 millions de mots de passe les plus importants pour forcer la connexion.
Par ailleurs, un problème a été découvert lors du processus de connexion à l’aide du client Web, qui a utilisé une redirection temporaire pour demander le consentement des clients à ses conditions de service et à sa politique de confidentialité.
« Un en-tête HTTP CSRF a été envoyé au cours de cette étape, mais si vous l’omettez, la requête semble toujours fonctionner correctement de toute façon », a déclaré Anthony. « L’échec du jeton CSRF a rendu les abus encore plus faciles qu’il ne le serait autrement, mais une correction ne fournirait pas beaucoup de protection contre cette attaque. »
Suite aux résultats, Zoom a mis le client Web hors ligne pour atténuer les problèmes le 2 avril avant de publier un correctif une semaine plus tard.
La plate-forme de visioconférence, qui a fait l’objet d’un examen minutieux pour un certain nombre de problèmes de sécurité alors que son utilisation s’est envolée pendant la pandémie de coronavirus, a rapidement corrigé les failles au fur et à mesure qu’elles étaient découvertes, allant même jusqu’à annoncer un gel de 90 jours sur la publication de nouvelles fonctionnalités pour « mieux identifier, résoudre et résoudre les problèmes de manière proactive. »
Un peu plus tôt ce mois-ci, la société a corrigé une vulnérabilité zero-day dans son application Windows qui pourrait permettre à un attaquant d’exécuter du code arbitraire sur l’ordinateur d’une victime exécutant Windows 7 ou une version antérieure.
Il a également corrigé une faille distincte qui aurait pu permettre aux attaquants d’imiter une organisation et de tromper ses employés ou partenaires commerciaux en leur faisant révéler des informations personnelles ou d’autres informations confidentielles via des attaques d’ingénierie sociale.
