Zoom: une nouvelle faille zero-day a été patchée

Une faille récemment découverte dans le client Zoom sur Windows pourrait permettre l’exécution de code à distance, selon des chercheurs de 0patch, qui ont révélé l’existence de la faille après avoir créé une de preuve de concept pour ce dernier.

Un patch a été déployé. La société a déclaré: «Zoom a résolu ce problème qui affecte les utilisateurs de Windows 7 et des versions antérieures avec la sortie de la version client 5.1.3 le 10 juillet. Les utilisateurs peuvent sécuriser leur système en appliquant la mises à jour de sécurité ou en téléchargeant la dernière version sur https://zoom.us/download. “

L’équipe de 0patch a déclaré que la vulnérabilité est présente dans toute version actuellement prise en charge du client Zoom pour Windows. Il est aussi important de noter que la faille présente quelques grands facteurs atténuants qui réduisent les inquiétudes qui l’entourent. D’une part, elle n’est exploitable que sur Windows 7 et les systèmes Windows plus anciens, qui sont en fin de vie et ne sont plus pris en charge par Microsoft (bien que des millions d’utilisateurs continuent de les utiliser).

Une attaque nécessite une interaction de l’utilisateur. Une cible doit d’abord effectuer une action typique telle que l’ouverture d’un fichier pour qu’un exploit fonctionne. Cela dit, aucun alerte de sécurité n’est montré à l’utilisateur au cours de l’attaque, selon la firme.

“L’exploitation nécessite une certaine ingénierie sociale – ce qui est pratiquement toujours le cas avec les vulnérabilités d’exécution de code à distance côté utilisateur”, a déclaré Mitja Kolsek, co-fondatrice de 0patch, ajoutant qu’il n’y a pour l’instant aucune indication d’exploits dans la nature. “Alors qu’une attaque massive est extrêmement peu probable, une attaque ciblée est envisageable.”

zoom

0patch a pris connaissance de la faille grâce à un «chercheur privé» qui souhaite rester anonyme. Cette personne a déclaré qu’aucune divulgation n’avait été faite à Zoom, mais 0patch a décidé de soumettre un rapport.

«Nous… avons documenté le problème avec plusieurs scénarios d’attaque, et l’avons signalé à Zoom plus tôt dans la journée avec une preuve de concept et des recommandations de correction», a écrit Kolsec dans un article. “Si une prime de bug est décernée par Zoom, elle sera dirigée vers un organisme de bienfaisance du choix du chercheur.”

Zoom, pour sa part, a confirmé la faille zero-day et a publié la déclaration suivante: «Zoom prend au sérieux tous les rapports de failles de sécurité potentielles. Ce matin, nous avons reçu un rapport d’un problème affectant les utilisateurs de Windows 7 et des versions antérieures. Nous avons confirmé ce problème et travaillons actuellement sur un correctif pour le résoudre rapidement. »

zoom

Lorsqu’on lui a demandé pourquoi il n’avait pas respecté la période de divulgation de 90 jours standard de l’industrie avant de publier la faille, Kolsec a déclaré que 0patch n’avait pas publié de détails sur la vulnérabilité en raison de l’absence de correctif.

“Nous n’avons pas divulgué les détails de vulnérabilité qui permettraient aux attaquants de l’exploiter, nous avons seulement divulgué sa présence et notre micropatch”, a déclaré Kolsec. “Conformément à notre politique de longue date, nous ne publierions même pas de détails après 90 jours si ces détails permettaient aux hackers d’attaquer les utilisateurs.” Il a ajouté: «Cela ne fait que quelques heures que [Zoom] a reçu le rapport. Je suis sûr qu’ils seront très rapides à résoudre ce problème, à en juger par la rapidité avec laquelle ils ont corrigé cette vulnérabilité UNC en Avril (en une seule journée). “

Cependant, la société a publié une vidéo de preuve de concept qui montre comment un exploit peut être déclenché en cliquant sur le bouton “Démarrer la vidéo” dans le client Zoom:

Une fois le correctif déployé, les consommateurs n’auront probablement pas besoin de prendre des mesures pour rester protégés. Cela sera peut être différent pour les entreprises.

“Le client Zoom dispose d’une fonctionnalité de mise à jour automatique assez persistante qui est susceptible de maintenir les utilisateurs à domicile à jour à moins qu’ils ne le souhaitent vraiment pas”, a écrit Kolsec, ajoutant que 0patch a publié un “micropatch” provisoire. «Cependant, les administrateurs d’entreprise aiment souvent garder le contrôle des mises à jour et peuvent conserver quelques versions antérieures, surtout si aucune faille de sécurité n’a été corrigé dans les dernières versions.

Pas la première fois pour Zoom

Ce n’est pas la première fois que le logiciel de vidéo-conférence est concerné par des failles de sécurité: Comme mentionné précédemment, en Avril, deux failles zero-day ont été découvertes dans la version client de Zoom sur macOS, ce qui aurait pu donner aux attaquants locaux non privilégiés des permissions root et leur permettre d’accéder aux micros et aux caméras des victimes. Zoom avait rapidement corrigé ces failles de sécurité.