Zoom a patché une faille dans les URL de redirection

Une faille non divulguée dans la fonctionnalité d’URL personnalisable de Zoom a été résolu. Cette vulnérabilité aurait pu offrir à un pirate informatique une fenêtre idéale pour l’ingénierie sociale qui aurait permis de dérober des informations d’identification ou d’autres données sensibles.

Révélé par Zoom et Check Point, la faille de sécurité se trouvait dans la fonctionnalité d’URL de redirection qui permet aux entreprises de configurer leur propre domaine de réunion, par exemple “votresociété.zoom.us”. Les entreprises peuvent ajouter des logos et une image de marque personnalisés à la page, les utilisateurs finaux accèdent à la page et cliquent sur les liens de réunion dans cette page pour se connecter à une réunion.

En plus du pilote pratique pour sa configuration, la fonction en question est également requise si les utilisateurs souhaitent activer l’authentification unique(Single Sign On) pour le service de vidéo-conférence.

zoom

Pour lancer une attaque, les cybercriminels se font passer pour un employé légitime dans une entreprise, puis envoient une invitation à une réunion à partir de l’URL de redirection. Cependant, les attaquants utiliseraient en fait une URL d’invitation qui incluait un sous-domaine de leur choix – et non la véritable URL personnalisée de l’entreprise.

«En d’autres termes, si le lien d’origine était https://zoom.us/j/##########, l’attaquant pourrait le changer en https://<organization’s name>.zoom.us/ j/########## », selon une analyse de Check Point. “Sans formation particulière en cybersécurité sur la manière de reconnaître l’URL appropriée, un utilisateur qui reçoit cette invitation peut ne pas se rendre compte que l’invitation n’était pas authentique ou si elle émanait d’une organisation réelle.”

Une deuxième façon de lancer une attaque serait de cibler des interfaces Web dédiées.

«Certaines organisations ont leur propre interface Web Zoom pour les conférences», selon Check Point. «Un pirate peut cibler une telle interface et tenter de rediriger un utilisateur pour qu’il saisisse un ID de réunion dans l’URL de redirection malveillante plutôt que dans l’interface Web du logiciel de vidéo-conférence. Comme pour les attaques par liens directs, sans une formation approfondie à la cybersécurité, une victime de telles attaques peut ne pas avoir été en mesure de reconnaître l’URL malveillante et être la proie de l’attaque. »

En fin de compte, une fois dans la réunion, l’attaquant pourrait continuer à se faire passer pour un employé de l’entreprise et procéder à l’extraction des informations d’identification et des informations sensibles, ainsi que mener d’autres actions frauduleuses, en posant certaines questions ou en demandant l’envoi de documents.

Check Point n’a pas publié les détails techniques de la faille, mais a noté qu’il existe plusieurs façons de participer à une réunion contenant un sous-domaine, notamment en utilisant un lien de sous-domaine direct contenant l’ID de la réunion ou en utilisant le sous-domaine personnalisé de l’organisation.

Zoom a résolu le problème de son côté, détruisant la possibilité d’exploit. Les chercheurs de Check Point ont déclaré qu’ils n’avaient pas détecté d’exploitation active de la faille avant le correctif.

«Zoom a résolu le problème signalé par Check Point et mis en place des garanties supplémentaires pour la protection de ses utilisateurs», a déclaré un porte-parole de Zoom, ajoutant que la société ne considérait pas le problème comme une faille zero-day. «Zoom encourage ses utilisateurs à examiner minutieusement les détails de toute réunion à laquelle ils prévoient d’assister avant de la joindre, et à ne rejoindre que les réunions d’utilisateurs en qui ils ont confiance. Nous apprécions que Check Point nous informe de ce problème. Si vous pensez avoir trouvé un problème de sécurité avec les produits Zoom, veuillez envoyer un rapport détaillé à security@zoom.us. »

«Étant donné que Zoom est devenu l’un des principaux canaux de communication au monde pour les entreprises, les gouvernements et les particuliers, il est essentiel de stopper les pirates informatiques pour les empêcher d’exploiter Zoom à des fins criminelles», a ajouté Adi Ikan, responsable de groupe chez Check Point, dans un communiqué.

zoom

La société a noté dans son analyse que si le service de vidéoconférence était déjà populaire avant la pandémie, les nouvelles règles de distanciation social ont rendu la plate-forme incontournable au niveau mondial, que ce soit pour des réunions gouvernementales et commerciales de haut niveau, aux classes universitaires et scolaires, aux réunions de famille. L’utilisation de Zoom est passée de 10 millions de participants aux réunions quotidiennes en Décembre 2019 à plus de 300 millions en Avril 2020. »

Les problèmes de sécurité de Zoom continuent

Zoom continue de faire face à des problèmes de sécurité, alors même que les pirates continuent d’analyser la plate-forme pour y trouver des faiblesses.

Récemment, le service de vidéo-conférence a corrigé une faille zero-day dans Zoom Client pour Windows qui aurait pu permettre l’exécution de code à distance.

En Avril, 2 failles zero-day ont été corrigé. Elles avaient été découvertes dans la version macOS de Zoom Client et auraient pu donner aux attaquants locaux et non privilégiés des privilèges root et leur permettre d’accéder au microphone et à la caméra des victimes. Egalement en Avril, plusieurs nouvelles bases de données ont été découvertes sur des forums souterrains partageant des tonnes d’informations d’identification Zoom.

En Janvier, Zoom a publié une multitude de correctifs de sécurité après avoir découvert que la plate-forme de l’entreprise utilisait une authentification faible qui permettait aux pirates de rejoindre des réunions actives. Les problèmes provenaient du fait que les réunions de conférence ne nécessitaient pas de «mot de passe de réunion» par défaut.

En Mars et Avril, de nombreux rapports ont fait état de «bombardements zoom», au cours desquels des trolls détournaient des réunions en ligne afin de diffuser des discours de haine tels que des messages racistes, des menaces de harcèlement sexuel et des images pornographiques, ce qui poussait les participants à se déconnecté ou forçait les réunions à être brusquement annulé.

D’autres problèmes ont également frappé l’entreprise. Au printemps, Zoom s’est débarrassé d’une fonctionnalité qui qui récupérait les noms et adresses e-mail des utilisateurs et les faisait correspondre avec leurs profils LinkedIn. Ils ont également supprimé une fonctionnalité de son application de conférence Web iOS qui partageait des données avec Facebook, après qu’un rapport révélant la pratique ait suscité l’indignation.

Pendant ce temps, les escrocs continueront de cibler la plate-forme, selon Check Point.

“Il n’est pas surprenant que la croissance explosive de l’utilisation de Zoom ait été accompagnée d’une augmentation du nombre de nouveaux enregistrements de domaines avec des noms incluant le mot “Zoom”, indiquant que les cybercriminels utilisent des domaines contenant le mot Zoom comme des appâts d’hameçonnage pour attirer les victimes”, note l’analyse de l’entreprise. “Nous avons également détecté des fichiers malveillants se faisant passer pour le programme d’installation de Zoom.”