Специалисты Google Project Zero рассказали о нескольких уязвимостях в Zoom, которые могли использоваться для компрометации других пользователей через отправку специально созданных XMPP-сообщений и выполнение вредоносного кода. Интересно, что опубликованный аналитиками эксплоит для удаленного выполнения кода относится к типу zero-click, то есть не требует взаимодействия с жертвой.

Четыре уязвимости, набравшие от 5,9 до 8,1 балла по шкале CVSS, были обнаружены еще в феврале 2022 года и объединены под общим названием «XMPP Stanza Smuggling»:

  • CVE-2022-22784 (CVSS: 8,1) — некорректный парсинг XML в клиенте Zoom для конференций;
  • CVE-2022-22785 (CVSS: 5,9) — некорректное ограничение cookie сессий в клиенте Zoom для конференций;
  • CVE-2022-22786 (CVSS: 7,5) — даунгрейд пакета обновлений в Windows-клиенте Zoom для конференций;
  • CVE-2022-22787 (CVSS: 5,9) — недостаточная проверка имени хоста во время переключения сервера в клиенте Zoom для конференций.

Исследователи рассказывают, что успешное использование этих проблем позволяло вынудить уязвимый клиент замаскировать пользователя Zoom, подключиться к вредоносному серверу и даже загрузить вредоносное обновление, что в итоге вело к выполнению произвольного кода в результате даунгрейд-атаки.

По словам экспертов, «один пользователь мог подделывать сообщения, будто они исходят от другого пользователя», а также «злоумышленник мог отправлять контрольные сообщения, которые принимались бы так, будто исходят от сервера».

Инженеры Zoom исправили обнаруженные проблемы на стороне сервера в феврале, а уязвимости на стороне клиента в версии 5.10.0, выпущенной в марте.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии