Trong một báo cáo được chia sẻ với The Hacker News, các nhà nghiên cứu tại công ty an ninh mạng Checkpoint hôm nay đã tiết lộ chi tiết về một lỗ hổng nhỏ nhưng dễ khai thác mà họ đã báo cáo trong Zoom, phần mềm hội nghị video rất phổ biến và được sử dụng rộng rãi.
Lỗ hổng Zoom mới nhất có thể cho phép kẻ tấn công bắt chước một tổ chức, lừa nhân viên hoặc đối tác kinh doanh của họ tiết lộ thông tin cá nhân hoặc thông tin bí mật khác bằng các thủ thuật kỹ thuật xã hội.
Chúng tôi biết, các cuộc tấn công kỹ thuật xã hội nghe có vẻ hơi nhàm chán, nhưng ai đó đã sử dụng tương tự để đốt cháy Twitter chỉ trong đêm qua khi hàng trăm tài khoản Twitter cao cấp đã bị hack để thúc đẩy lừa đảo tiền điện tử, tất cả là nhờ tài khoản công cụ nội bộ bị xâm phạm của nhân viên.
Lỗ hổng nói trên nằm trong tính năng URL tùy chỉnh của Zoom được đặt tên là Vanity URL, nhằm mục đích cho phép các công ty tạo một URL tùy chỉnh trên tên miền phụ và trang đích có thương hiệu của mình, chẳng hạn như “yourcompany.zoom.us,“nơi liên kết lời mời đến một cuộc họp sau đó trông giống như https://organization_name.zoom.us/j/##########, thay vì thường xuyên https://zoom.us/j/########## định dạng.
Nhóm Checkpoint nhận thấy rằng do xác thực tài khoản không phù hợp, bất kỳ ID cuộc họp nào cũng có thể được khởi chạy bằng URL Vanity của bất kỳ tổ chức nào, ngay cả khi cuộc họp được thiết lập bởi một tài khoản riêng lẻ.
“Vấn đề bảo mật tập trung vào các chức năng của tên miền phụ”, các nhà nghiên cứu cho biết. “Có một số cách để tham gia cuộc họp có chứa tên miền phụ, bao gồm sử dụng liên kết tên miền phụ trực tiếp có chứa ID cuộc họp hoặc sử dụng giao diện người dùng web tên miền phụ tùy chỉnh của tổ chức.”
Kẻ tấn công có thể khai thác lỗ hổng này theo hai cách:
- Tấn công thông qua các liên kết trực tiếp: Một hacker có thể thay đổi URL lời mời, chẳng hạn như https://zoom.us/j/##########, để bao gồm một tên miền phụ đã đăng ký mà họ chọn, như https: //< organization's name>.zoom.us / j / ##########, khi thiết lập một cuộc họp. Một người dùng nhận được liên kết lời mời này có thể rơi vào bẫy của kẻ tấn công, nghĩ rằng lời mời đó là thật và được phát hành từ một tổ chức thực sự.
- Tấn công các giao diện web Zoom chuyên dụng: Do một số tổ chức có giao diện web Zoom cho các cuộc gọi hội nghị, tin tặc cũng có thể nhắm mục tiêu vào giao diện đó và cố gắng chuyển hướng người dùng nhập ID cuộc họp vào URL Vanity độc hại thay vì giao diện web Zoom thực tế và tham gia phiên Zoom có liên quan.
Tác động của vấn đề này có thể dẫn đến một nỗ lực lừa đảo thành công, cho phép những kẻ tấn công giả làm nhân viên hợp pháp của công ty, có khả năng cho phép chúng đánh cắp thông tin xác thực và thông tin nhạy cảm và thực hiện các hành động lừa đảo khác.
Các nhà nghiên cứu của Check Point đã tiết lộ một cách có trách nhiệm vấn đề với Zoom Video Communications Inc. và làm việc cùng nhau để giải quyết vấn đề này và đưa ra các biện pháp bảo vệ bổ sung để bảo vệ người dùng.
“Vì Zoom đã trở thành một trong những kênh truyền thông hàng đầu thế giới cho các doanh nghiệp, chính phủ và người tiêu dùng, điều quan trọng là các tác nhân đe dọa không được khai thác Zoom cho mục đích tội phạm”, Adi Ikan, Giám đốc nhóm tại Check Point Research, nói với The Hacker News.
“Hợp tác với nhóm bảo mật của Zoom, chúng tôi đã giúp Zoom cung cấp cho người dùng toàn cầu trải nghiệm giao tiếp an toàn, đơn giản và đáng tin cậy hơn để họ có thể tận dụng tối đa lợi ích của dịch vụ.”
Đầu năm nay, Check Point Research cũng đã làm việc với Zoom để vá một lỗi riêng tư nghiêm trọng điều đó có thể cho phép những người không mời tham gia các cuộc họp riêng tư và nghe lén từ xa về âm thanh, video và tài liệu riêng tư được chia sẻ trong suốt phiên.
Do sự bùng phát coronavirus đang diễn ra, việc sử dụng phần mềm hội nghị truyền hình Zoom đã tăng vọt từ 10 triệu người tham gia cuộc họp hàng ngày vào tháng 12 năm 2019 lên hơn 300 triệu vào tháng 4 năm 2020, trở thành mục tiêu ưa thích của tội phạm mạng.
Mới tuần trước, Zoom đã vá lỗ hổng zero-day trong tất cả các phiên bản được hỗ trợ của máy khách Zoom cho Windows có thể cho phép kẻ tấn công thực thi mã tùy ý trên máy tính của nạn nhân chạy Microsoft Windows 7 trở lên.
Tháng trước, Zoom đã giải quyết hai lỗ hổng bảo mật quan trọng trong phần mềm hội nghị truyền hình dành cho máy tính Windows, macOS hoặc Linux có thể cho phép kẻ tấn công xâm nhập vào hệ thống của những người tham gia trò chuyện nhóm hoặc một người nhận từ xa.
Vào tháng Tư, một hàng loạt vấn đề đã được phát hiện và báo cáo trong Zoom, điều này đã làm dấy lên mối lo ngại về quyền riêng tư và bảo mật xung quanh phần mềm hội nghị truyền hình giữa hàng triệu người dùng.
