Уязвимости

Специалисты Cisco Talos рассказали о двух критических уязвимостях, обнаруженных в приложении Zoom. Благодаря этим проблемам удаленный злоумышленник мог проникнуть в систему любого из участников группового звонка.

Обе найденные проблемы представляли собой баги типа path traversal, и их можно было использовать для внедрения произвольных файлов в уязвимые системы с целью последующего выполнения вредоносного кода. Хуже того, по словам исследователей, эксплуатация этих проблем требовала весьма ограниченного взаимодействия с пользователями чата, к примеру, было достаточно отправить конкретному человеку или группе специально созданное сообщение.

Первая уязвимость (CVE-2020-6109) связана с тем, что Zoom использует сервис Giphy, недавно приобретенный компанией Facebook, чтобы пользователи могли искать и обмениваться в чате анимированными файлами GIF. Как оказалось, Zoom не проверяет, загружается GIF с серверов Giphy или нет, то есть злоумышленник мог встраивать в сообщения файлы GIF со стороннего сервера, которые Zoom кэширует и сохраняет по умолчанию в системе пользователя, в связанной с приложением папке.

Так как вместе с этим приложение не выполняло должную очистку имен файлов, злоумышленники могли добиться обхода каталога, обманом вынудив Zoom сохранить вредоносные файлы, замаскированные под GIF, в любом месте системы жертвы, например в папке автозагрузки.

Вторая уязвимость, связана с удаленным выполнением кода (CVE-2020-6110 ). Проблема заключалась в том, как Zoom обрабатывает сниппеты кода, передаваемые в чате.

«Функциональность чата Zoom построена на основе классического XMPP с дополнительными расширениями для поддержки расширенного взаимодействия с пользователем. Одно из таких расширений поддерживает функцию вставки в чат сниппетов с кодом, которые получают полную поддержку подсветки синтаксиса. И если для отправки фрагментов кода требуется установка дополнительного плагина, то для получения ничего не нужно. Данная функция реализована как расширение для обмена файлами», — рассказывают исследователи.

По сути, эта функция создает ZIP-архив с фрагментом кода перед отправкой, а затем автоматически распаковывает его в системе получателя. При этом во время распаковки файлов ZIP Zoom предварительно не проверяет содержимое архива, что теоретически позволяет  злоумышленнику внедрить произвольный бинарник на целевой компьютер.

Более того, выше уже было сказано, что обе уязвимости относятся к типу path traversal. Так, второй баг тоже позволял не просто доставить вредоносный архив на целевую машину, но и записывать файлы за пределами случайно сгенерированного каталога.

Эксперты Cisco Talos сообщают, что разработчики Zoom исправили обе критические уязвимости с релизом версии 4.6.12.

End-to-end для избранных

Весной текущего года весь мир начал активно пользоваться Zoom в связи с пандемией COVID-19, ведь все больше людей были вынуждены работать и общаться исключительно удаленно. Тогда мы писали о том, что эксперты подвергли приложение жесткой критике и обнаружили в Zoom множество проблем с безопасностью и приватностью (1, 2).

Тогда компания пообещала, что остановит разработку на 90 дней и займется исключительно улучшением безопасности. Первые плоды этого решения можно было наблюдать уже в апреле-мае, когда разработчики действительно исправили множество багов, создали программу bug bounty, учредили совет CISO, а также пригласили множество сторонних экспертов для дальнейшей работы над развитием Zoom.

Одним из поводов для критики Zoom была ложь об использовании end-to-end шифрования. Как выяснили иследователи, видеовызовы в Zoom по умолчанию не имели сквозного шифрования, хотя компания утверждала обратное. Тогда представители компании пообещали обязательно «принять меры» и исправиться, и на этой неделе сделали интересное объявление.

Еще в прошлом месяце Zoom опубликовала подробный проект криптографического дизайна, который планировалось использовать реализации сквозного шифрования. Но, как стало известно теперь, сквозное шифрование будет предлагаться только платным пользователям и учебным заведениям.

В рамках телефонной конференции, посвященной публикации финансовых результатов компании за первый квартал 2021 финансового года, глава Zoom Эрик Юань сообщил инвесторам, что компания не намерена предлагать ​​сквозное шифрование обычным пользователям, которые более склонны злоупотреблять платформой. Дело в том, что компания хочет продолжать сотрудничать с ФБР и правоохранительными органами, в случаях, когда люди используют Zoom для «плохих целей».

Алекс Стамос, бывший глава безопасности Facebook, который сейчас помогает Zoom  в роли приглашенного консультанта, посвятил этому вопросу длинный тред в Twitter. По его словам, внедрить end-to-end шифрование не так просто, так как задачу усложняются требования к продукту для предприятий, а также юридические нюансы.

Стамос пишет, что Zoom не занимается проактивным мониторингом групповых звонков и не планирует делать этого в будущем. А так как подавляющее большинство злоупотреблений исходит от людей, которые используют Zoom бесплатно, компания намерена принять меры, которые будут мешать этому и помогут снизить ущерб.

Эксперт отмечает, что при активном сквозном шифровании команда Zoom Trust and Safety не может подключаться к конференциям, где совершаются злоупотребления, и бэкдор для такого доступа компания создавать не планирует. Также Стамос подчеркнул, что некоторые функции приложения попросту несовместимы со сквозным шифрованием.

Оставить мнение