Zoom: des pirates prétendent avoir découvert 2 failles zero-day

Des pirates prétendent avoir découvert deux vulnérabilités zero-day pour la plate-forme de vidéoconférence Zoom qui permettraient d’espionner les vidéoconférences privées et d’exploiter davantage le système d’une cible.

Les failles ciblent les clients Zoom sur les systèmes d’exploitation Windows et MacOS, selon un rapport publié par Vice Motherboard. Selon le rapport, les pirates demandent 500 000 $ pour l’exploit sur Windows. L’article cite deux courtiers anonymes qui affirment que des pirates informatiques se sont rapprochés d’eux pour tenter de vendre le code zero-day.

Il est important de noter que le rapport de Motherboard indique que les courtiers n’ont pas examiné le code zero-day et fondent leur opinion sur ce que les pirates prétendent avoir à vendre. Selon l’article, les pirates prétendent que l’exploit sur Windows est une faille d’exécution de code à distance qui devrait être associé à un exploit supplémentaire pour infiltrer le système d’une cible. Quant au zero-day de Zoom sur macOS, il ne peut être exécuté que localement, ce qui signifie qu’il ne s’agit pas d’une faille d’exécution de code à distance, selon le rapport.

zoom

Dans une déclaration faite à Motherboard, Zoom a déclaré ne pas avoir pu trouver de preuves étayant les affirmations de la publication. L’une des sources de Motherboard a émis l’hypothèse que les pirates informatiques derrière les exploits présumés ne sont «que des enfants qui espèrent faire du bruit».

Le code Windows pourrait constituer une menace importante pour les utilisateurs de Zoom, selon les experts cités par Motherboard. «[C’est] une exécution de code à distance agréable et propre, parfait pour l’espionnage industriel.»

L’exploitation zero-day sur Windows inclut une condition préalable supplémentaire qui exige que l’attaquant soit un participant à une réunion Zoom avec sa cible pour lancer l’attaque présumée.

Plus tôt ce mois-ci, Zoom a corrigé deux failles zero-day dans son client macOS qui pouvaient accorder aux attaquants locaux non privilégiés un privilège root permettant l’accès au microphone et à la caméra des victimes.

Les malheurs de Zoom

Il existe déjà des preuves que les utilisateurs de Zoom Enterprise et Business ont été compromis par des pirates. Récemment, les chercheurs ont découvert une base de données partagée sur un forum souterrain contenant plus de 2300 informations d’identification de Zoom compromises, y compris les noms d’utilisateur et mots de passe pour des comptes Zoom appartenant à des banques, des sociétés de conseil, des établissements d’enseignement, des prestataires de soins de santé et des éditeurs de logiciels.

L’annonce de ces vulnérabilités est le dernier problème en date concernant Zoom qui a vu une augmentation de son utilisation au cours du dernier mois depuis que les gouvernements du monde entier ont ordonné un confinement de leurs populations suite à la pandémie du COVID-19. L’utilisation du service de vidéoconférence a grimpé en flèche, des millions de personnes se sont tournées vers la plate-forme gratuite pour se connecter avec des amis, organiser des réunions de travail, assister à des cours et participer à une myriade d’autres activités en ligne.

zoom

Le ZoomBombing est devenu la méthode utilisée par les pirates informatiques pour s’introduire dans des vidéoconférences, utilisant la facilité avec laquelle ils pouvaient accéder aux liens vers les conférences Zoom pour passer des appels sans y être invités ou les perturber avec de la pornographie, des propos haineux ou même des menaces physiques.

Zoom a finalement modifié son interface utilisateur en supprimant les numéros d’identification de réunion de la barre de titre de son interface client pour atténuer les attaques des pirates. Avant ce bidouillage, tout le monde pouvait rejoindre une réunion s’ils connaissaient le lien de la réunion.

Une série d’autres failles a émergé peu après, forçant la compagnie américaine à prendre des mesures pour atténuer et éliminer ces menaces. Zoom a supprimé une fonctionnalité appelée LinkedIn Sales Navigator qui a été critiquée pour «exploration de données non divulguée» des noms et adresses e-mail des utilisateurs que le service utilisait pour les associer à leurs profils LinkedIn.

La société fait actuellement face à une poursuite judiciaire menée par l’un de ses actionnaires qui affirme que la société a fait des «déclarations fausses et trompeuses» en exagérant leurs mesures de confidentialité et de sécurité, et prétend que Zoom n’a pas révélé l’inexistence de chiffrement de bout en bout.

Tous ces problèmes ont forcé Zoom à recruter Alex Stamos, l’ancien responsable de la sécurité des systèmes d’information (RSSI) de Facebook, pour leur fournir des conseils et nommer des équipes de consultants et d’experts en sécurité informatique pour les aider à remonter la pente.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x