Logo Zéphyrnet

Project Zero : la plate-forme Zoom a manqué l'atténuation des exploits ASLR

Date :

Un éminent chercheur en sécurité fouillant la plate-forme de visioconférence Zoom a découvert des signes inquiétants selon lesquels l'entreprise n'a pas réussi à activer un système d'atténuation anti-exploit vieux de plusieurs décennies, une erreur qui a considérablement accru l'exposition aux attaques de pirates informatiques malveillants.

La découverte a été faite par Natalie Silvanovich de Google Project Zero lors d'un audit de sécurité de la boîte noire du logiciel largement déployé de Zoom et attire une fois de plus l'attention sur les erreurs fondamentales des développeurs qui continuent de causer des problèmes de sécurité majeurs.

Silvanovitch, connue pour son travail documenter les défauts de sécurité dans iMessage d'Apple, a trouvé des preuves que Zoom n'a pas réussi à activer la randomisation de la disposition de l'espace d'adressage (ASLR), une mesure d'atténuation de la sécurité de la mémoire introduite pour la première fois en 2006 par Microsoft pour rendre plus difficile l'automatisation des attaques contre le système d'exploitation.

Au fil des années, l'atténuation de l'ASLR a considérablement élevé la barre pour les attaquants et a forcé les auteurs d'exploits à enchaîner plusieurs vulnérabilités pour trouver des chemins d'attaque fiables. Cependant, comme Silvanovich l’a découvert, Zoom rejoint une liste de fournisseurs de renom qui n’ont pas réussi à activer cette atténuation de base.

[ LIS: Le logiciel SolarWinds piraté ne disposait pas d’une atténuation anti-exploit de base ]

À la fin de l'année dernière, Microsoft a identifié des problèmes similaires avec SolarWinds lors d'une analyse post-mortem d'une attaque zero-day contre les produits Serv-U Managed File Transfer et Serv-U Secure FTP de la société. Dans ce cas, les chercheurs de Redmond ont remarqué que Les développeurs de SolarWinds n'ont pas réussi à activer ASLR compatibilité dans certains modules.

« L'activation d'ASLR est un simple indicateur de compilation. [Il] s'agit d'une atténuation de sécurité critique pour les services qui sont exposés à des entrées distantes non fiables et nécessite que tous les binaires du processus soient compatibles afin d'empêcher efficacement les attaquants d'utiliser des adresses codées en dur dans leurs exploits, comme cela était possible dans Serv- U », avait prévenu Microsoft à l’époque.

Après un audit de sécurité de Zoom qui a abouti à des correctifs pour deux vulnérabilités de sécurité graves (voir la couverture précédente de SecurityWeek), Silvanovich de Project Zero a publié un avis détaillé pour mettre en garde contre la surface d'attaque de Zoom et déplorer les difficultés liées à l'accès à la base de code propriétaire de Zoom.

[ LIS: Project Zero Flags Faille de sécurité Zoom à haut risque ]

« [La plus grande] préoccupation dans cette évaluation était le manque d'ASLR sur le serveur Zoom MMR. L'ASLR est sans doute l'atténuation la plus importante pour empêcher l'exploitation de la corruption de la mémoire, et la plupart des autres atténuations en dépendent à un certain niveau pour être efficaces. Il n’y a aucune bonne raison pour qu’il soit désactivé dans la grande majorité des logiciels », a déclaré Silvanovich. 

« Des efforts ont récemment été déployés pour réduire la vulnérabilité des logiciels aux vulnérabilités de corruption de la mémoire en passant à des langages sécurisés pour la mémoire et en mettant en œuvre des mesures d'atténuation améliorées de la mémoire, mais cela dépend de l'utilisation par les fournisseurs des mesures de sécurité fournies par les plates-formes pour lesquelles ils écrivent des logiciels. Tous les logiciels écrits pour les plates-formes prenant en charge ASLR devraient l'avoir (ainsi que d'autres atténuations de base de la mémoire) activés », a-t-elle ajouté.

Alors que la plupart des systèmes de vidéoconférence utilisent des logiciels open source, WebRTC ou PJSIP, Silvanovich a identifié le système fermé de Zoom comme un obstacle à une recherche externe fiable en matière de sécurité. 

« Les logiciels fermés présentent des défis de sécurité uniques, et Zoom pourrait faire davantage pour rendre sa plateforme accessible aux chercheurs en sécurité et à tous ceux qui souhaitent l'évaluer », a déclaré Silvanovich.

"Zoom et d'autres sociétés qui produisent des logiciels confidentiels sensibles à la sécurité devraient réfléchir à la manière de rendre leurs logiciels accessibles aux chercheurs en sécurité."

Dans le l'analyse technique, Silvanovich a attiré l'attention sur le risque d'attaques sans clic sur le client multiplateforme de Zoom et a averti que les vulnérabilités récemment corrigées auraient pu conduire à la compromission des serveurs de Zoom et à l'exposition des données de réunion.

A vulnérabilité zéro clic dans le client Zoom a été documenté lors du concours de piratage Pwn2Own, au cours duquel une prime de 200,000 XNUMX $ a été attribuée. 

Connexe: Project Zero Flags Faille de sécurité Zoom à haut risque

Connexe: 200,000 2 $ attribués pour un exploit de zoom sans clic chez PwnXNUMXOwn

Connexe: Le logiciel SolarWinds piraté ne disposait pas d’une atténuation anti-exploit de base

Connexe: La FTC affirme que Zoom a induit les utilisateurs en erreur sur sa sécurité pour les réunions

voir le compteur

Ryan Naraine est rédacteur en chef de SecurityWeek et animateur du populaire Conversations sur la sécurité série podcast. Il est journaliste et stratège en cybersécurité avec plus de 20 ans d'expérience dans le domaine de la sécurité informatique et des tendances technologiques.
Ryan a mis en place des programmes d'engagement en matière de sécurité dans de grandes marques mondiales, notamment Intel Corp., Bishop Fox et Kaspersky GReAT. Il est co-fondateur de Threatpost et de la série de conférences mondiale SAS. La carrière de Ryan en tant que journaliste comprend des signatures dans des publications technologiques majeures, notamment Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag et PC World.
Ryan est directeur de l'association à but non lucratif Security Tinkerers et conférencier régulier lors de conférences sur la sécurité à travers le monde.
Suivez Ryan sur Twitter @ryanaraine.

Chroniques précédentes de Ryan Naraine :
Mots clés:

Source : https://www.securityweek.com/project-zero-zoom-platform-missed-aslr-exploit-mitigation

spot_img

Dernières informations

spot_img