Project Zero : la plate-forme Zoom a manqué l'atténuation des exploits ASLR
Suivez nous sur

Recherche verticale Platon

Cyber ​​sécurité

Project Zero : la plate-forme Zoom a manqué l'atténuation des exploits ASLR

Un éminent chercheur en sécurité fouillant la plate-forme de visioconférence Zoom a découvert des signes inquiétants indiquant que l'entreprise n'a pas réussi à activer une atténuation anti-exploit vieille de plusieurs décennies, une erreur qui a considérablement augmenté l'exposition aux attaques de pirates malveillants.

EN SAVOIR PLUS

Un éminent chercheur en sécurité fouillant la plate-forme de visioconférence Zoom a découvert des signes inquiétants indiquant que l'entreprise n'a pas réussi à activer une atténuation anti-exploit vieille de plusieurs décennies, une erreur qui a considérablement augmenté l'exposition aux attaques de pirates malveillants.

La découverte a été faite par Natalie Silvanovich de Google Project Zero lors d'un audit de sécurité de la boîte noire du logiciel largement déployé de Zoom et attire à nouveau l'attention sur les erreurs de base des développeurs qui continuent de causer des problèmes de sécurité majeurs.

Silvanovitch, connue pour son travail documenter les défauts de sécurité dans iMessage d'Apple, trouvé des preuves que Zoom n'a pas réussi à activer la randomisation de la disposition de l'espace d'adresse (ASLR), une atténuation de la sécurité de la mémoire introduite pour la première fois en 2006 par Microsoft pour rendre plus difficile l'automatisation des attaques contre le système d'exploitation.

Au fil des ans, l'atténuation ASLR a considérablement relevé la barre pour les attaquants et contraint les auteurs d'exploits à enchaîner plusieurs vulnérabilités pour trouver des chemins d'attaque fiables. Cependant, comme l'a découvert Silvanovich, Zoom rejoint une liste de grands fournisseurs qui n'ont pas réussi à activer cette atténuation de base.

[ LIS: Le logiciel SolarWinds piraté manquait d'atténuation anti-exploitation de base ]

À la fin de l'année dernière, Microsoft a identifié des problèmes similaires avec SolarWinds lors d'une analyse post-mortem d'une attaque zero-day contre les produits Serv-U Managed File Transfer et Serv-U Secure FTP de la société. Dans ce cas, les chercheurs de Redmond ont remarqué que Les développeurs de SolarWinds n'ont pas réussi à activer l'ASLR compatibilité dans certains modules.

"L'activation de l'ASLR est un simple indicateur de compilation. [Il] s'agit d'une atténuation de sécurité critique pour les services exposés à des entrées distantes non fiables, et nécessite que tous les binaires du processus soient compatibles afin d'empêcher efficacement les attaquants d'utiliser des adresses codées en dur dans leurs exploits, comme cela était possible dans Serv- U », a averti Microsoft à l'époque.

Après un audit de sécurité de Zoom qui a abouti à des correctifs pour deux graves vulnérabilités de sécurité (voir la couverture précédente de SecurityWeek), Silvanovich de Project Zero a publié un avis détaillé pour avertir de la surface d'attaque de Zoom et déplorer les difficultés à pénétrer la base de code propriétaire de Zoom.

[ LIS: Project Zero Flags Faille de sécurité Zoom à haut risque ]

"[La plus grande] préoccupation dans cette évaluation était le manque d'ASLR dans le serveur Zoom MMR. L'ASLR est sans doute l'atténuation la plus importante pour empêcher l'exploitation de la corruption de la mémoire, et la plupart des autres atténuations en dépendent à un certain niveau pour être efficaces. Il n'y a aucune bonne raison pour qu'il soit désactivé dans la grande majorité des logiciels », a déclaré Silvanovich. 

«Il y a eu récemment une poussée pour réduire la sensibilité des logiciels aux vulnérabilités de corruption de mémoire en passant à des langages sécurisés en mémoire et en mettant en œuvre des atténuations de mémoire améliorées, mais cela repose sur les fournisseurs utilisant les mesures de sécurité fournies par les plates-formes pour lesquelles ils écrivent des logiciels. Tous les logiciels écrits pour les plates-formes qui prennent en charge l'ASLR devraient l'avoir (ainsi que d'autres atténuations de mémoire de base) activé », a-t-elle ajouté.

Alors que la plupart des systèmes de visioconférence utilisent des logiciels open source, soit WebRTC ou PJSIP, Silvanovich a identifié le système fermé de Zoom comme un obstacle à une recherche externe fiable sur la sécurité. 

"Les logiciels à source fermée présentent des défis de sécurité uniques, et Zoom pourrait faire plus pour rendre leur plate-forme accessible aux chercheurs en sécurité et à d'autres qui souhaitent l'évaluer", a déclaré Silvanovich.

"Zoom et d'autres sociétés qui produisent des logiciels sensibles à la sécurité à source fermée devraient réfléchir à la manière de rendre leurs logiciels accessibles aux chercheurs en sécurité."

Dans le l'analyse technique, Silvanovich a attiré l'attention sur le risque d'attaques sans clic sur le client multiplateforme de Zoom et a averti que les vulnérabilités récemment corrigées auraient pu entraîner la compromission des serveurs de Zoom et l'exposition des données de réunion.

A vulnérabilité zéro clic dans le client Zoom a été documenté lors du concours de piratage Pwn2Own où une prime de 200,000 XNUMX $ a été attribuée. 

Relatif: Project Zero Flags Faille de sécurité Zoom à haut risque

Relatif: 200,000 2 $ attribués pour l'exploitation de zoom sans clic chez PwnXNUMXOwn

Relatif: Le logiciel SolarWinds piraté manquait d'atténuation anti-exploitation de base

Relatif: La FTC affirme que Zoom a trompé les utilisateurs sur sa sécurité pour les réunions

voir le compteur
Project Zero : la plate-forme Zoom a manqué l'atténuation des exploits ASLR
Project Zero : la plate-forme Zoom a manqué l'atténuation des exploits ASLR

Ryan Naraine est rédacteur en chef de SecurityWeek et animateur du populaire Conversations sur la sécurité série podcast. Il est journaliste et stratège en cybersécurité avec plus de 20 ans d'expérience dans le domaine de la sécurité informatique et des tendances technologiques.
Ryan a mis en place des programmes d'engagement en matière de sécurité dans de grandes marques mondiales, notamment Intel Corp., Bishop Fox et Kaspersky GReAT. Il est co-fondateur de Threatpost et de la série de conférences mondiale SAS. La carrière de Ryan en tant que journaliste comprend des signatures dans des publications technologiques majeures, notamment Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag et PC World.
Ryan est directeur de l'association à but non lucratif Security Tinkerers et conférencier régulier lors de conférences sur la sécurité à travers le monde.
Suivez Ryan sur Twitter @ryanaraine.

Chroniques précédentes de Ryan Naraine :
Project Zero : la plate-forme Zoom a manqué l'atténuation des exploits ASLRMots clés:

Source : https://www.securityweek.com/project-zero-zoom-platform-missed-aslr-exploit-mitigation

Flux associés

Blockchain

L'ancien parlementaire singapourien Calvin Cheng forme la première société holding d'investissement réglementée en jetons non fongibles (NFT) et fan tokens à Dubaï. Le Dubai Virtual Asset Regulatory...

cannabis

Andrew Baines, 46 ans, père de deux enfants et patient atteint de cannabis médical au Royaume-Uni, a fait face à un sort terrible pour être également un soignant du cannabis. À savoir...

cannabis

Andrew Baines, 46 ans, père de deux enfants et patient atteint de cannabis médical au Royaume-Uni, a fait face à un sort terrible pour être également un soignant du cannabis. À savoir...

cannabis

Andrew Baines, 46 ans, père de deux enfants et patient atteint de cannabis médical au Royaume-Uni, a fait face à un sort terrible pour être également un soignant du cannabis. À savoir...