محققان شرکت امنیت سایبری سیسکو تالوس از شناسایی دو آسیبپذیری بحرانی در نرمافزار Zoom که میتوانند برای نفوذ به سیستم شرکتکنندگان در یک گفتگوی گروهی و یا یک گیرندهی شخصی مورد بهرهبرداری قرار بگیرند، خبر دادند.
هر دوی این آسیبپذیریها از نوع پیمایش مسیر هستند و میتوانند برای نوشتن یا plant فایلهای دلخواه و در نتیجه، اجرای کد مخرب در سیستمهایی که نسخهی آسیبپذیر Zoom را اجرا میکنند، مورد بهرهبرداری قرار گیرند. به گفتهی محققان، بهرهبرداری موفقیتآمیز از این دو آسیبپذیری نیاز به تعامل خاصی با شرکتکنندگان در گفتگوی هدف نداشته و میتواند تنها با ارسال پیامهای خاص طراحیشده از طریق ویژگی گفتگو به یک فرد یا یک گروه اجرا شود.
اولین آسیبپذیری امنیتی که با شناسهی CVE-2020-6109 ردیابی میشود، در نحوهی بهکارگیری سرویس GIPHY توسط نرمافزار Zoom وجود دارد. این سرویس به کاربران Zoom اجازه میدهد تا هنگام گفتگو، GIFهای متحرک را جستجو و مبادله کنند.
محققان دریافتند که برنامهی Zoom بررسی نمیکند که آیا GIF به اشتراک گذاشتهشده از سرویس GIPHY بارگیری شده است یا خیر. این موضوع به مهاجمان اجازه میدهد تا GIFها را از یک سرور تحت کنترل اشخاص ثالث جاسازی کنند. علاوهبراین، از آنجایی که برنامهی Zoom نام فایلها را sanitizing نمیکند، مهاجم به پیمایش فهرست دسترسی داشته و به این ترتیب میتواند برنامه را برای ذخیرهی فایلهای مخرب در قالب GIF، در هر مکان از سیستم قربانی فریب دهد.
دومین آسیبپذیری که با شناسهی CVE-2020-6110 ردیابی میشود، از نوع اجرای کد از راه دور بوده و به پردازش کدهای اسنیپت به اشتراک گذاشتهشده در یک گفتگو در نسخهی آسیبپذیر برنامهی Zoom مربوط است.
به گفتهی محققان، قابلیت گفتگوی Zoom براساس استاندارد XMPP همراه با افزونههای اضافی برای پشتیبانی از تجربهی کاربری ایجاد شده است. یکی از این افزونهها، از کدهای اسنیپت منبع که با پشتیبانی کامل از syntax highlighting همراه است، پشتیبانی میکند. این ویژگی برای ارسال کدهای اسنیپت نیاز به نصب یک پلاگین اضافی دارد که بهعنوان یک افزونهی پشتیبانی از اشتراک فایل اجرا میشود.
این ویژگی قبل از ارسال کدهای اسنیپت به اشتراک گذاشتهشده، یک آرشیو zip از آنها را ایجاد کرده و سپس، آن را بهطور خودکار بر روی سیستم گیرنده unzips میکند. به گفتهی محققان، ویژگی استخراج فایل zip در برنامهی Zoom، محتوای فایل zip را قبل از استخراج آن اعتبارسنجی نمیکند، بنابراین، مهاجم میتواند باینریهای دلخواه را بر روی رایانههای هدف plant کند.
محققان سیسکو تالوس هر دوی این آسیبپذیریها را در نسخهی ۴٫۶٫۱۰ برنامهی Zoom آزمایش کرده و آنها را به این شرکت گزارش دادند. شرکت Zoom نیز با انتشار نسخهی ۴٫۶٫۱۲ برای نرمافزار کنفرانس ویدئویی خود برای رایانههای ویندوز، macOS و لینوکس، این آسیبپذیریهای بحرانی را وصله کرده است.
