Como hackeei usuários do ZOOM em todo o mundo

Views: 1479
4 4
Read Time:2 Minute, 24 Second

Olá a todos,

Enquanto eu estava testando o sistema de login de zoom.us notei que quando você se cadastra no facebook, se sua conta do facebook não tiver endereço de e-mail é pedido para você inserir um novo endereço de e-mail.

Passo 1

Eu pensei que é uma boa posição para testes, então eu começo a testar neste ponto final a primeira coisa que eu fiz foi inserir uma conta de endereço de e-mail existente no Zoom para ver o que acontece

Passo 2

ele envia um código de ativação para o endereço de e-mail

Passo 3

então eu verifiquei o endereço de e-mail e recebi essa mensagem se você confirmar esse endereço de e-mail, você pode fazer login com o facebook para esta conta, então eu cliquei no botão confirmar e recebi este link

https://zoom.us/signin/term_accept/verify_email?code=vAlA5Mtp_jPqfUUPMuWK…….

Step 4

quando eu abri o link eu tenho esta página, se você clicar no botão Ativar agora a conta do facebook estará conectada com este e-mail

mas depois que eu vi o código parâmetro no link

O código param (Passo 4[imagem]) tem o mesmo valor do código param (Passo 2[imagem])

isso significa que ele não precisa verificar o endereço de e-mail para obter o código de confirmação queum invasor pode ativar qualquer conta para conectá-lo com a conta do Facebook usando o código de valor param neste link (Passo 2 [imagem])

(( https://zoom.us/signin/term_accept/one_more?code=XXX ))

e usá-lo para o link de e-mail de ativação de código param (Passo 4 [imagem])

(( https://zoom.us/signin/term_accept/verify_email?code=XXX ))

Assista a este vídeo e veja como um invasor é capaz de hackear qualquer usuário de conta apenas conhecendo seu e-mail

Comprovante de conteúdo

Depois disso tive uma ideia, achei que há muitas empresas que têm conta no Zoom e usam seu e-mail de negócios para criar conta como support@companyname.com

por isso, se um invasor criar uma conta com endereço de e-mail attacker@companyname.com e verificar com este bug

o invasor pode visualizar todos os e-mails criados com* @companyname.com no aplicativo Zoom nos contatos da empresa, então isso significa que o invasor pode hackear todas as contas da empresa

Comprovante de conteúdo

Impacto

um atacante tem a imincia:

1- participe da
reunião com qualquer usuário 2- leia
chats, vídeos, fotos, arquivos de qualquer usuário 3- leia todos os endereços de e-mail de qualquer empresa

e fazer muito mais……

Cronograma:

2020/03/30: encontrado e reportá-lo à equipe de segurança do Zoom.

2020/04/1: o bug fixo e me premie com recompensa + swag.

Siga-me no twitter @sec_krd

FONTE: MEDIUM

POSTS RELACIONADOS