Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica nell’applicazione per videoconferenza Zoom

Zoom   venerdì, 30 novembre 2018

Zoom è un’applicazione cloud multipiattaforma per audioconferenza e videoconferenza professionale, presentazioni, seminari Web e formazione a distanza.

Un ricercatore di sicurezza di Tenable ha scoperto una vulnerabilità critica in Zoom (CVE-2018-15715) che potrebbe consentire ad un attaccante di prendere il controllo del desktop, alterare i messaggi di chat, bloccare o escludere i partecipanti ad un meeting. In teoria l’attaccante potrebbe sfruttare questa falla per scaricare ed eseguire malware sul PC delle vittime.

La vulnerabilità deriva dal fatto che il gestore di eventi interno di Zoom invia sia i pacchetti UDP provenienti dai client, sia i pacchetti TCP provenienti dai server autorizzati ad un unico gestore di messaggi centralizzato. Un attaccante potrebbe sfruttare questa circostanza inviando pacchetti UDP appositamente predisposti che vengono interpretati dall’applicazione come messaggi provenienti dal canale TCP cifrato utilizzato per la connessione con i server. In questo modo, l’attaccante è in grado di simulare l’invio di comandi dai server ed invocare funzionalità riservate.

Questa vulnerabilità può essere sfruttata in tre diversi scenari di attacco: l’attaccante è uno dei partecipanti ad un meeting, l’attaccante si trova sulla stessa rete locale (LAN) o l’attaccante agisce dall’esterno attraverso una rete geografica (WAN) ed è in grado di effettuare lo spoofing di un indirizzo IP pubblico.

Per poter sfruttare questa vulnerabilità l’attaccante deve essere a conoscenza dell’IP di uno dei partecipanti o di quello di un server Zoom. Inoltre, l’attaccante deve conoscere anche gli ID assegnati ai partecipanti ad un meeting, ottenibili facilmente mediante un attacco a forza bruta.

La vulnerabilità è stata dimostrata dallo scopritore mediante exploit proof-of-concept sulle seguenti versioni di Zoom:

  • Zoom 4.1.33259.0925 per Windows 10
  • Zoom 4.1.33259.0925 per macOS 10.13
  • Zoom 2.4.129780.0915 per Linux (Ubuntu 14.04)

Per risolvere questa vulnerabilità è necessario aggiornare Zoom ad una delle seguenti versioni:

  • Zoom client 4.1.34814.1119 o successivo per Windows
  • Zoom client 4.1.34801.1116 o successivo per macOS

Al momento non risulta ancora disponibile un aggiornamento per i sistemi Linux. Si raccomanda a tutti gli utenti di Zoom di scaricare ed applicare gli aggiornamenti necessari al più presto.

L’avviso di sicurezza originale di Tenable contiene maggiori dettagli su questa vulnerabilità, incluso un video dimostrativo dell’attacco.