Vulnérabilité critique sur Zoom : Exécution de code à distance

Vulnérabilité critique sur Zoom : Exécution de code à distance

Une vulnérabilité de type “zero-day” dans Zoom, qui peut être utilisée pour lancer des attaques par exécution de code à distance (RCE – remote code execution), a été révélée par des chercheurs en cybersécurité.

Pwn2Own, organisé par la Zero Day Initiative, est un concours destiné aux professionnels et aux équipes de cybersécurité qui s’affrontent dans la découverte de vulnérabilités parmi les logiciels et services les plus populaires.

Le dernier concours comprenait différentes catégories, notamment les navigateurs web, les logiciels de virtualisation, les serveurs, les outils de communication d’entreprise et l’escalade locale de privilèges.

publicité

Les détails techniques spécifiques de la vulnérabilité sont gardés secrets

Pour les participants qui réussissent, les récompenses financières peuvent être élevées. Daan Keuper et Thijs Alkemade ont gagné 200 000 dollars pour leur découverte d’une nouvelle vulnérabilité sur le logiciel de visioconférence Zoom.

Les chercheurs de Computest ont démontré l’existence d’une chaîne d’attaque à trois bugs, qui a provoqué un RCE sur une machine cible, le tout sans aucune forme d’interaction avec l’utilisateur.

Comme Zoom n’a pas encore eu le temps de corriger le problème de sécurité critique, les détails techniques spécifiques de la vulnérabilité sont gardés secrets. Cependant, une démonstration de l’attaque montre comment un attaquant a pu ouvrir le programme de la calculatrice d’une machine exécutant Zoom suite à son exploit.

« Zoom recommande de n’accepter que les demandes de contact provenant de personnes que vous connaissez »

Comme précisé par Malwarebytes, l’attaque fonctionne sur les versions Windows et Mac de Zoom, mais elle n’a pas – encore – été testée sur iOS ou Android. La version navigateur du logiciel de vidéoconférence n’est pas impactée.

Dans une déclaration à Tom’s Guide, Zoom remercie les chercheurs de Computest et affirme que la société « travaille à atténuer ce problème en ce qui concerne Zoom Chat ». Les réunions Zoom en cours de session et les webinaires vidéo Zoom ne sont pas concernés.

« L’attaque doit également provenir d’un contact externe accepté ou faire partie du même compte organisationnel de la cible », ajoute Zoom. « En tant que meilleure pratique, Zoom recommande à tous les utilisateurs de n’accepter que les demandes de contact provenant de personnes qu’ils connaissent et en qui ils ont confiance. »

« Cet événement, ainsi que les procédures qui l’entourent, démontrent comment les hackers white hat travaillent »

Les fournisseurs disposent d’une fenêtre de 90 jours, ce qui est une pratique standard dans les programmes de divulgation des vulnérabilités, pour résoudre les problèmes de sécurité découverts. Les utilisateurs finaux n’ont plus qu’à attendre la publication d’un correctif – mais s’ils sont inquiets, ils peuvent utiliser la version du navigateur en attendant.

« Cet événement, ainsi que les procédures et protocoles qui l’entourent, démontrent très bien comment les hackers white hat travaillent, et ce que signifie une divulgation responsable », indique Malwarebytes. « Gardez les détails pour vous jusqu’à ce qu’une protection sous forme de correctif soit facilement disponible pour toutes les personnes concernées (étant entendu que les fournisseurs feront leur part et produiront rapidement un correctif). »

Les autres attaques à noter sur cet événement :

  • Apple Safari : Jack Dates, exécution de code au niveau du noyau, 100 000 dollars.
  • Microsoft Exchange : DEVCORE, prise de contrôle complète du serveur, 200 000 dollars.
  • Microsoft Teams : OV, exécution de code, 200 000 dollars.
  • Ubuntu Desktop : Ryota Shiga, passage de l’utilisateur standard à l’utilisateur root, 30 000 dollars.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *