Nnuovi problemi di sicurezza per Zoom: i ricercatori di Project Zero di Google hanno infatti rivelato quattro vulnerabilità già corrette che potrebbero consentire ad un attore malevolo di compromettere gli account della nota piattaforma di videoconferenza e prenderne il controllo senza necessità di alcuna interazione da parte degli utenti.
In particolare, l’app è nel mirino di una exploit chain con esecuzione di codice da remoto che può essere attivata mediante l’invio di un messaggio in chat. “L’ultima scoperta di svariate CVE – ora risolte – sulla piattaforma di video conferencing Zoom”, commenta Pierguido Iezzi, esperto di cyber security e CEO di Swascan, “è l’ennesima riprova della pericolosità degli zero-day e di quanto le best practice di aggiornamento siano sempre più indispensabili”.
Indice degli argomenti
I dettagli delle vulnerabilità zero-day in Zoom
Ivan Fratric Project Zero ha descritto la catena exploit che un attore malevolo potrebbe sfruttare per compromettere un utente di Zoom senza necessità di interazione.
Infatti, basta l’invio di un messaggio in chat sul protocollo XMPP (Extensible Messaging and Presence Protocol) per dar l’avvio all’exploit chain ribattezzata “XMPP Stanza Smuggling”. La crafted control stanza, infatti, induce la vittima client a connettersi a un server malevolo, trasformando l’attacco in un primitivo man-in-the-middle.
Intercettando/modificando le richieste/risposte di aggiornamenti lato client, la vittima scarica ed esegue un update malevolo. Il risisultato è dunque un’esecuzione arbitraria di codice. Un attacco client downgrade è poi utilizzato per bypassare i controlli (signature check) sull’installer dell’aggiornamento.
Le vulnerabilità, che spaziano dalla CVE-2022-22784 alla CVE-2022-22787, sono catalogate con un punteggio CVSS fra 5.9 e 8.1 in severità. Lo scorso febbraio, Ivan Fratric del Google Project Zero ha scoperto ed effettuato il report di tutte le quattro falle:
- CVE-2022-22784 (8.1): XML Parsing improprio nel Zoom Client for Meetings;
- CVE-2022-22785 (5.9): sessione cookies impropriamente vincolata nel Zoom Client for Meetings;
- CVE-2022-22786 (7.5): update package downgrading nel Zoom Client for Meetings for Windows;
- CVE-2022-22787 (5.9): validazione insufficiente hostname durante il server switch innelZoom Client for Meetings.
Come proteggersi
Quando gli esperti segnalano falle pericolose, occorre subito scaricare ed applicare le patch.
In questo caso, bisogna effettuare l’upgrade alla versione 5.10.4, rilasciata ad aprile. “Oltre alla specifica di questa vulnerabilità – che potrebbe permettere ad un utente malevolo di falsificare i messaggi come se provenissero da un altro utente –”, conclude Iezzi, “dobbiamo ricordare quanto sia logicamente difficile per un software provider mantenere le dovute attenzioni di Dev Sec Ops sulle versioni outdated dei propri software. In questo caso, come già raccomandato dall’azienda stessa, il consiglio è quello di applicare l’ultima release del software (5.10.0) al più presto”.
Due delle falle hanno un impatto sull’XML parser Expat, open source. Infatti, poiché la libreria è diffusa in numerosi progetti, i vendor hanno rilasciato avvisi pero informare i lori clienti sull’impatto di queste ed altre vulnerabilità Expat, inclusi IBM, Aruba, varie distribuzioni di Linux, Oracle e F5.
Infine, non bisogna mai fidarsi di link inviati in chat: il social engineering è sempre in agguato per indurre le vittime a cadere nelle trappole.
