Zoom sur macOS: 2 failles zéro-day ont été découvertes

Selon des chercheurs en sécurité informatique, deux failles zéro-day ont été découvertes dans la version client macOS de Zoom. Les vulnérabilités de la plateforme de conférence Web pourraient permettra à des attaquants locaux non privilégiés d’obtenir des privilèges de niveau root et d’accéder au microphone et à la caméra des victimes.

Les deux vulnérabilités ont été patchées le 2 Avril 2020, selon Zoom.

zoom

Ces deux failles de sécurités, découvertes par Patrick Wardle, chercheur en sécurité chez Jamf, surviennent alors que Zoom fait l’objet d’un examen de ses mesures de sécurité. L’augmentation du nombre de gens en condition de télétravail à cause du coronavirus a poussé les chercheurs en sécurité informatique à se pencher un peu plus le logiciel de conférence web.

“Nous avons découvert deux problèmes de sécurité (locaux) affectant l’application macOS de Zoom”, a déclaré Wardle. “Compte tenu des antécédents de Zoom en matière de confidentialité et de sécurité, cela ne devrait surprendre absolument personne.”

Les pirates informatiques doivent avoir une présence locale sur les systèmes pour les exploiter, ils auront donc d’abord besoin d’un accès physique à l’ordinateur d’une victime. Un autre scénario pourrait inclure une attaque survenant après une infection de malware qui permettrait à un pirate distant d’avoir une présence locale sur le système ciblé.

La première faille provient d’un problème avec le programme d’installation de Zoom et permet à des individus non privilégiés d’obtenir des privilèges root. Le problème provient du programme d’installation qui utilise la fonction d’interface de programmation d’application (API) AuthorizationExecuteWithPrivileges, qui est utilisée pour installer l’application Zoom MacOS (en utilisant les scripts de pré-installation) sans aucune intervention de l’utilisateur.

L’API a en fait été déconseillée par Apple car elle ne tente pas de valider un fichier binaire en cours d’exécution à la racine. Parce que Zoom utilise cette API, cela signifie que «un attaquant local non privilégié ou un logiciel malveillant peut être en mesure d’altérer ou de remplacer cet élément afin d’élever ses privilèges à la racine», a déclaré Wardle.

Pour exploiter Zoom, l’attaquant local non privilégié pourrait simplement modifier un fichier binaire pour inclure le script runwithroot lors d’une installation. Parce qu’il ne serait alors pas vérifié, il obtiendrait finalement un accès root.

zoom

La deuxième faille zéro-day donne aux attaquants un accès au micro et à la caméra de Zoom, permettant d’enregistrer des réunions ou de surveiller la vie personnelle des victimes, sans qu’aucune fenêtre ne s’affiche pour l’utilisateur.

Il est évident que Zoom nécessite l’accès à un microphone et à une caméra car c’est une plate-forme de conférence Web mais alors que les versions récentes de macOS nécessitent l’approbation explicite de l’utilisateur pour ces autorisations, Zoom a une «exception» qui permet au code d’être injecté par des bibliothèques tierces. Wardle a déclaré qu’une bibliothèque tierce malveillante pourrait être chargée dans le processus, héritant automatiquement de tous les droits d’accès du logiciel et donnant finalement aux pirates le contrôle de ces autorisations de caméra et de microphone.

“En raison d’un droit ‘d’exception’, nous avons montré comment injecter une bibliothèque malveillante dans le contexte du processus approuvé de Zoom”, a déclaré Wardle. «Cela permet aux malwares d’enregistrer toutes les réunions, ou de simplement générer Zoom en arrière-plan pour accéder au micro et à la webcam à des heures arbitraires.»

Wardle a déclaré: «la première [faille] est problématique car de nombreuses entreprises utilisent (maintenant) Zoom pour des réunions commerciales sensibles, tandis que la seconde est problématique car elle offre aux logiciels malveillants la possibilité d’accéder au micro ou à la webcam, sans alertes et/ou fenêtres de macOS.”

Autres failles de sécurité de Zoom

Les problèmes de sécurité de Zoom font boule de neige. Le 31 Mars, le FBI a mis en garde contre de multiples informations selon lesquelles des conférences seraient perturbées par des images pornographiques ou haineuses et des propos menaçants lors d’attaques dites de «Zoom-bombing».

La semaine dernière des chercheurs en sécurité ont découvert une vulnérabilité d’injection de chemin UNC (Universal Naming Convention) dans le client Zoom sur Windows, qui pourrait permettre aux attaquants de voler les informations d’identification Windows des utilisateurs. La faille a d’abord été découverte par un utilisateur de Twitter sous le pseudo _g0dmode, puis vérifiée par le chercheur en sécurité Matthew Hickey qui travaille pour la firme de sécurité informatique Hacker House.

Dans les messages de chat sur sa plateforme, Zoom convertit automatiquement les chemins UNC en liens cliquables. Un chemin UNC est un format PC permettant de spécifier l’emplacement des ressources sur un réseau local (LAN), qui peut être utilisé pour accéder aux ressources réseau.

Une fois qu’une victime du chat clique sur le chemin UNC associé, Windows tentera de se connecter au lien en utilisant un protocole de partage de fichiers SMB, selon un rapport de Bleeping Computer. Par défaut, cela transmet le nom d’utilisateur et le mot de passe de la victime. Le mot de passe est haché via NTLM, mais peut facilement être récupéré et craqué par les attaquants (en utilisant des outils gratuits comme Hashcat).

Un autre problème de Zoom, reporté mercredi par Motherboard, montre que l’application divulgue les adresses e-mail et les photos de milliers d’utilisateurs. Cela est dû à un problème dans le “Répertoire d’entreprise”, où la plate-forme ajoute automatiquement des personnes aux listes de contacts d’autres personnes si elles utilisent une adresse e-mail partageant le même domaine.

“Par défaut, votre répertoire de contacts Zoom contient des utilisateurs internes de la même organisation, qui sont sur le même compte ou dont l’adresse e-mail utilise le même domaine que le vôtre (sauf pour les domaines publics tels que gmail.com, yahoo.com, hotmail.com, etc.) dans la section Annuaire de l’entreprise », selon la page d’assistance de Zoom.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x