Continuano i problemi di sicurezza per Zoom, la famosa app di videoconferenza che sta riscuotendo un enorme successo tra gli utenti e le aziende durante la pandemia di Covid-19: un ricercatore di sicurezza indipendente (che non ha fornito dettagli sulla sua identità) ha infatti scoperto una nuova vulnerabilità zero-day che, se sfruttata con successo, potrebbe consentire ad un attaccante di eseguire codice arbitrario sul computer della vittima su cui è installata la versione client per Windows dell’app.
La vulnerabilità è stata resa pubblica con un post sul blog 0patch dell’azienda di sicurezza informatica ACROS Security (che ha diffuso anche un proof-of-concept) e confermata da un portavoce di Zoom.
Non sono stati comunque resi noti ulteriori dettagli che permetterebbero agli aggressori di sfruttarla in quanto, al momento, non è ancora disponibile una patch che risolva il problema di sicurezza.
Indice degli argomenti
Zoom: i dettagli della nuova vulnerabilità
Da quanto dichiarato dal team di 0patch, la vulnerabilità è presente in qualsiasi versione attualmente supportata di Zoom Client per Windows.
La nota positiva è che si sono due fattori attenuanti della sua gravità. Intanto, pare che il difetto di sicurezza sia sfruttabile solo su Windows 7 e sulle precedenti versioni del sistema operativo Microsoft, che sono fuori uso e non godono più del supporto tecnico ufficiale (anche se sono ancora milioni gli utenti che le usano e che quindi rendono potenzialmente molto vasta la superficie di attacco).
Per riuscire a sfruttare positivamente l’exploit, inoltre, un eventuale attaccante ha bisogno di una qualche interazione da parte dell’utente. La vittima, in poche parole, dovrebbe prima eseguire alcune azioni come, ad esempio, l’apertura di un documento.
E purtroppo, in questa fase, il client di Zoom non visualizza alcun avviso di sicurezza all’utente relativo ad un potenziale attacco.
“L’exploit richiede un po’ di ingegneria sociale, come accade praticamente sempre in caso di sfruttamento di vulnerabilità che prevedono l’esecuzione del codice a distanza lato utente”, ha detto Mitja Kolsek, co-fondatore di 0patch.
È evidente, dunque, che la vulnerabilità può essere sfruttata esclusivamente per attacchi mirati verso specifici target.
Aggiornare Zoom Client per mitigare il rischio di attacco
In maniera responsabile, i ricercatori di 0patch hanno documentato il problema insieme a diversi scenari di attacco, segnalandolo poi a Zoom insieme ad alcune raccomandazioni per la sua eventuale correzione.
Zoom, da parte sua, ha confermato la presenza dello zero-day nel suo client, rilasciando la seguente dichiarazione: “Zoom prende sul serio tutte le segnalazioni di potenziali vulnerabilità di sicurezza. Questa mattina abbiamo ricevuto una segnalazione di un problema che ha avuto un impatto sugli utenti con Windows 7 e precedenti. Abbiamo confermato questo problema e stiamo attualmente lavorando a una patch per risolverlo rapidamente”.
Al momento, dunque, per evitare di rimanere vittime di un possibile attacco è consigliabile non aprire documenti non verificati e inviati in chat o durante una sessione di videoconferenza.
Appena la patch per il client di Zoom sarà disponibile, verrà installata mediante il modulo di aggiornamento automatico.
Gli amministratori di sistema aziendali che invece aggiornano manualmente l’app per avere un maggiore controllo sulle versioni e sui bug risolti, farebbero bene a tenere d’occhio il sito ufficiale di Zoom e ad installare nuovi update appena disponibili.