Zoom, la popolare app di videoconferenze, ha recentemente corretto l’ennesimo bug nella sicurezza che avrebbe potuto permettere ad un potenziale attaccante di decifrare la password numerica a sei cifre usata per proteggere le riunioni private e spiare, così, i partecipanti.
La possibilità di inserire una password per l’accesso alle riunioni private, lo ricordiamo, è stata aggiunta in Zoom già dallo scorso aprile come misura preventiva per combattere gli attacchi di tipo Zoombombing in cui un attaccante avrebbe potuto interrompere e dirottare le riunioni senza essere invitato, riuscendo anche a condividere contenuti osceni e a sfondo razzista.
Indice degli argomenti
I dettagli del nuovo bug in Zoom
La vulnerabilità, scoperta da Tom Anthony, VP Product di SearchPilot, e subito segnalata a Zoom è stata identificata nella versione client di Zoom. In pratica, l’app non imponeva alcun limite nei tentativi di inserimento della combinazione numerica per l’accesso ad una riunione, ma solo nella velocità con cui si potevano effettuare richieste via HTTP.
In questo modo, un attaccante avrebbe potuto facilmente e in pochi minuti, mediante un “banale” attacco di tipo brute force, provare il milione di combinazioni possibili di password per individuare quella corretta e accedere così alle riunioni private.
In assenza di controlli per i ripetuti tentativi di password errate, un aggressore può sfruttare il client web di Zoom per inviare continuamente richieste HTTP e provare tutte le possibili combinazioni.
In un PoC (Proof-of-Concept) realizzato in un ambiente di test configurato su piattaforma cloud AWS, lo stesso Anthony ha dimostrato di essere riuscito a “provare” 25 password al secondo: in 25 minuti è quindi riuscito ad effettuare ben 91.000 tentativi di accesso. Dunque, secondo il ricercatore, sfruttando un threading ottimizzato e una distribuzione della potenza di calcolo su 4 o 5 server cloud, un eventuale attaccante sarebbe in grado di controllare tutte le possibili password di accesso in pochi minuti.
L’allarme, secondo il ricercatore, sta anche nel fatto che le cosiddette riunioni ricorrenti utilizzano sempre lo stesso codice di accesso, il che significa che l’attaccante avrebbe potuto avere accesso alle riunioni in corso e anche a tutte quelle future.
Come mettere in sicurezza il client di Zoom
Il ricercatore ha segnalato il bug lo scorso primo aprile. Il giorno successivo Zoom ha messo offline il client web per mitigare i problemi, prima di emettere una correzione la settimana successiva, precisamente il 9 aprile.
Ora il numero di tentativi per l’inserimento della password è limitato e vengono accettate chiavi di accesso alfanumeriche e più lunghe di sei caratteri.
È dunque utile aggiornare subito, qualora non lo si avesse già fatto, il client di Zoom (disponibile, nel momento in cui scriviamo, nella versione 5.1.3 build 28656.0709) scaricandolo esclusivamente dalla pagina ufficiale della piattaforma: ricordiamo, infatti, che in passato i criminal hacker hanno distribuito due finti installer dell’applicazione che consentivano loro di intromettersi nelle sessioni di videoconferenza o nelle riunioni online per rubare informazioni riservate ed effettuare registrazioni audio e video.
