Olá a todos,
Enquanto eu estava testando o sistema de login de zoom.us notei que quando você se cadastra no facebook, se sua conta do facebook não tiver endereço de e-mail é pedido para você inserir um novo endereço de e-mail.
Eu pensei que é uma boa posição para testes, então eu começo a testar neste ponto final a primeira coisa que eu fiz foi inserir uma conta de endereço de e-mail existente no Zoom para ver o que acontece
ele envia um código de ativação para o endereço de e-mail
então eu verifiquei o endereço de e-mail e recebi essa mensagem se você confirmar esse endereço de e-mail, você pode fazer login com o facebook para esta conta, então eu cliquei no botão confirmar e recebi este link
https://zoom.us/signin/term_accept/verify_email?code=vAlA5Mtp_jPqfUUPMuWK…….
quando eu abri o link eu tenho esta página, se você clicar no botão Ativar agora a conta do facebook estará conectada com este e-mail
mas depois que eu vi o código parâmetro no link
O código param (Passo 4[imagem]) tem o mesmo valor do código param (Passo 2[imagem])
isso significa que ele não precisa verificar o endereço de e-mail para obter o código de confirmação queum invasor pode ativar qualquer conta para conectá-lo com a conta do Facebook usando o código de valor param neste link (Passo 2 [imagem])
(( https://zoom.us/signin/term_accept/one_more?code=XXX ))
e usá-lo para o link de e-mail de ativação de código param (Passo 4 [imagem])
(( https://zoom.us/signin/term_accept/verify_email?code=XXX ))
Assista a este vídeo e veja como um invasor é capaz de hackear qualquer usuário de conta apenas conhecendo seu e-mail
Depois disso tive uma ideia, achei que há muitas empresas que têm conta no Zoom e usam seu e-mail de negócios para criar conta como support@companyname.com
por isso, se um invasor criar uma conta com endereço de e-mail attacker@companyname.com e verificar com este bug
o invasor pode visualizar todos os e-mails criados com* @companyname.com no aplicativo Zoom nos contatos da empresa, então isso significa que o invasor pode hackear todas as contas da empresa
Impacto
um atacante tem a imincia:
1- participe da
reunião com qualquer usuário 2- leia
chats, vídeos, fotos, arquivos de qualquer usuário 3- leia todos os endereços de e-mail de qualquer empresa
e fazer muito mais……
Cronograma:
2020/03/30: encontrado e reportá-lo à equipe de segurança do Zoom.
2020/04/1: o bug fixo e me premie com recompensa + swag.
Siga-me no twitter @sec_krd
FONTE: MEDIUM