Zoom: 2 failles permettaient de pirater les systèmes

Si vous utilisez Zoom, en particulier en cette période difficile pour vos études, vos affaires ou votre engagement social, assurez-vous que vous utilisez la dernière version du logiciel de visioconférence sur vos ordinateurs Windows, macOS ou Linux.

Il ne s’agit pas de l’arrivée de la fonctionnalité de chiffrement de bout en bout très attendue, qui apparemment, selon les dernières nouvelles, ne serait désormais accessible qu’aux utilisateurs payants. Au lieu de cela, ces dernières nouvelles concernent deux vulnérabilités critiques récemment découvertes.

zoom

Des chercheurs en sécurité informatique de Cisco Talos ont dévoilé aujourd’hui avoir découvert deux vulnérabilités critiques dans le logiciel Zoom qui auraient pu permettre à des attaquants de pirater à distance les systèmes des participants de discussion de groupe ou d’un destinataire individuel.

Les deux failles en question sont des vulnérabilités de traversée de chemin qui peuvent être exploitées pour écrire ou planter des fichiers arbitraires sur les systèmes exécutant des versions vulnérables du logiciel de visioconférence pour exécuter du code malveillant.

Selon les chercheurs, l’exploitation réussie des deux failles ne nécessite aucune ou très peu d’interaction de la part des participants au chat ciblé et peut être exécutée simplement en envoyant des messages spécialement conçus via la fonction de chat à un individu ou à un groupe.

Détails des 2 failles de sécurité de Zoom

La première vulnérabilité de sécurité (CVE-2020-6109) résidait dans la façon dont Zoom tire parti du service GIPHY, récemment acheté par Facebook, pour permettre à ses utilisateurs de rechercher et d’échanger des GIF animés tout en discutant.

Les chercheurs constatent que l’application Zoom ne vérifiait pas si un GIF partagé se charge depuis le service Giphy ou non, ce qui permet à un attaquant d’utiliser leur propre serveur pour intégrer des GIF que Zoom stock sur le système des destinataires dans un dossier spécifique associé à l’application.

En outre, puisque l’application n’assainissait pas non plus les noms de fichiers, elle aurait pu permettre aux attaquants de parcourir le répertoire, incitant l’application à enregistrer des fichiers malveillants déguisés en GIF vers n’importe quel emplacement sur le système de la victime, par exemple, le dossier de démarrage.

La deuxième vulnérabilité d’exécution de code à distance (CVE-2020-6110) résidait dans la façon dont les versions vulnérables de l’application Zoom traitaient les échantillons de code de partagées via le chat.

“La fonctionnalité de chat de Zoom est construite en se basant sur la norme XMPP avec des extensions supplémentaires pour prendre en charge l’expérience utilisateur. L’une de ces extensions prend en charge une fonctionnalité d’inclusion d’extraits de code source qui prennent en charge la mise en surbrillance de la syntaxe. La fonctionnalité qui permet d’envoyer des extraits de code nécessite l’installation d’un plugin supplémentaire mais ce n’est pas nécessaire pour les recevoir. Cette fonctionnalité est implémentée comme une extension de la prise en charge du partage de fichiers “, ont déclaré les chercheurs.

Cette fonctionnalité crée une archive zip de l’extrait de code partagé avant l’envoyer, puis la décompresse automatiquement sur le système du destinataire.

zoom

Selon les chercheurs, la fonction d’extraction de fichier zip de Zoom ne vérifie pas le contenu du fichier zip avant de l’extraire, permettant à l’attaquant de planter des fichiers binaires arbitraires sur les ordinateurs ciblés.

“De plus, un problème de traversée de chemin partiel permet au fichier zip spécialement conçu d’écrire des fichiers en dehors du répertoire généré de manière aléatoire”, ont déclaré les chercheurs.

Les chercheurs de Cisco Talos ont testé les deux failles de la version 4.6.10 de l’application cliente Zoom et les ont signalées à l’entreprise.

Zoom a corrigé les deux vulnérabilités critiques avec la sortie de la version 4.6.12 de son logiciel de visioconférence pour les ordinateurs Windows, macOS ou Linux.

Si cet article vous a plu, jetez un œil à notre article précédent.