0
0
Pesquisadores que descobriram o bug ganharam recompensa de US$ 200.000
Pesquisadores divulgaram uma vulnerabilidade de dia zero no Zoom que pode ser usada para lançar ataques de execução remota de código. De acordo com informações do site ZDNet, os pesquisadores da Computest demonstraram uma cadeia de ataque de três bugs que causou uma execução remota de código em uma máquina-alvo – tudo sem qualquer forma de interação do usuário.
A vulnerabilidade foi descoberta através do Pwn2Own, um concurso para profissionais e equipes de segurança cibernética white-hat para competir na descoberta de bugs em softwares e serviços populares, organizado pela Zero Day Initiative. Daan Keuper e Thijs Alkemade ganharam US$ 200.000 pela descoberta.
A última competição incluiu 23 inscrições, que competiram em diferentes categorias, incluindo navegadores da web, software de virtualização, servidores, comunicação corporativa e escalonamento local de privilégio.
Como o Zoom ainda não teve tempo de corrigir o problema crítico de segurança, os detalhes técnicos específicos da vulnerabilidade estão sendo mantidos em sigilo. No entanto, uma animação do ataque em ação demonstra como um invasor foi capaz de abrir o programa de calculadora de uma máquina executando o Zoom após sua exploração, diz o site.
Conforme observado por Malwarebytes, o ataque funciona nas versões do Zoom para Windows e Mac, mas ainda não foi testado no iOS ou Android. A versão do navegador do software de videoconferência não foi afetada.
Em uma declaração ao Tom’s Guide, a Zoom agradeceu aos pesquisadores da Computest e disse que a empresa está “trabalhando para mitigar esse problema com relação ao Zoom Chat”.
As reuniões In-session Zoom Meetings e Zoom Video Webinars não são afetados.
“O ataque também deve se originar de um contato externo aceito ou ser parte da mesma conta organizacional do alvo”, acrescentou a empresa. “Como prática recomendada, o Zoom recomenda que todos os usuários aceitem apenas solicitações de contato de pessoas que conhecem e em quem confiam”.
Os fornecedores têm uma janela de 90 dias, que é uma prática padrão em programas de divulgação de vulnerabilidade, para resolver os problemas de segurança encontrados. Os usuários finais precisam apenas esperar que um patch seja lançado – mas se preocupados, eles podem usar a versão do navegador enquanto isso, ressalta o ZDNet.
“Este evento, e os procedimentos e protocolos que o cercam, demonstram muito bem como os hackers white-hat funcionam e o que significa divulgação responsável”, disse Malwarebytes. “Guarde os detalhes para você até que a proteção na forma de um patch esteja prontamente disponível para todos os envolvidos (com o entendimento de que os fornecedores farão sua parte e produzirão um patch rapidamente)”.
FONTE: COMPUTERWORLD