Een verkenning van het zero-click aanvalsoppervlak voor de populaire videoconferentie-oplossing Zoom heeft twee voorheen niet bekendgemaakte beveiligingsproblemen opgeleverd die misbruikt hadden kunnen worden om de service te laten crashen, kwaadaardige code uit te voeren en zelfs willekeurige delen van het geheugen te lekken.
Natalie Silvanovich van Google Project Zero, die ontdekt en meldde de twee gebreken vorig jaar zeiden de problemen zowel Zoom-clients als Multimedia Router (MMR)-servers, die audio- en video-inhoud tussen clients in implementaties op locatie.
De zwakke punten zijn sindsdien door Zoom aangepakt als onderdeel van: updates verzonden op 24 november 2021.
Het doel van een zero-click aanval is om heimelijk controle te krijgen over het apparaat van het slachtoffer zonder enige vorm van interactie van de gebruiker, zoals het klikken op een link.
Hoewel de bijzonderheden van de exploit variëren afhankelijk van de aard van de kwetsbaarheid die wordt uitgebuit, is een belangrijk kenmerk van zero-click hacks hun vermogen om geen sporen van kwaadaardige activiteiten achter te laten, waardoor ze erg moeilijk te detecteren zijn.
De twee tekortkomingen die door Project Zero zijn geïdentificeerd, zijn als volgt:
- CVE-2021-34423 (CVSS-score: 9.8) – A buffer overloop kwetsbaarheid die kan worden gebruikt om de service of applicatie te laten crashen of om willekeurige code uit te voeren.
- CVE-2021-34424 (CVSS-score: 7.5) – Een fout in het procesgeheugen die kan worden gebruikt om mogelijk inzicht te krijgen in willekeurige delen van het geheugen van het product.
Door het RTP-verkeer (Real-time Transport Protocol) te analyseren dat wordt gebruikt om audio en video over IP-netwerken te leveren, ontdekte Silvanovich dat het mogelijk is om de inhoud van een buffer te manipuleren die het lezen van verschillende gegevenstypen ondersteunt door een verkeerd ingedeeld chatbericht te verzenden, waardoor de client en de MMR-server crashen.
Verder is het ontbreken van een NULL check — waarmee het einde van een string wordt bepaald — maakte het mogelijk om gegevens uit het geheugen te lekken door via een webbrowser deel te nemen aan een Zoom-vergadering.
De onderzoeker schreef de fout in het geheugen ook toe aan het feit dat Zoom niet inschakelde ASLR, ook bekend als randomisatie van adresruimtelay-out, een beveiligingsmechanisme dat is ontworpen om de moeilijkheidsgraad van het uitvoeren van bufferoverloopaanvallen te vergroten.
"Het ontbreken van ASLR in het Zoom MMR-proces verhoogde het risico dat een aanvaller het zou kunnen compromitteren enorm", zei Silvanovich. “ASLR is misschien wel de belangrijkste beperking bij het voorkomen van misbruik van geheugencorruptie, en de meeste andere maatregelen zijn er op een bepaald niveau van afhankelijk om effectief te zijn. Er is geen goede reden om het in de overgrote meerderheid van de software uit te schakelen.”
Hoewel de meeste videoconferentiesystemen open-sourcebibliotheken gebruiken, zoals: WebRTC or PJSIP voor het implementeren van multimediacommunicatie noemde Project Zero het gebruik van eigen formaten en protocollen door Zoom en de hoge licentiekosten (bijna $ 1,500) als belemmeringen voor beveiligingsonderzoek.
"Closed-source software biedt unieke beveiligingsuitdagingen en Zoom zou meer kunnen doen om hun platform toegankelijk te maken voor beveiligingsonderzoekers en anderen die het willen evalueren", aldus Silvanovich. "Hoewel het Zoom Security Team me hielp bij het openen en configureren van serversoftware, is het niet duidelijk of er ondersteuning beschikbaar is voor andere onderzoekers, en het licentiëren van de software was nog steeds duur."
Bron: https://thehackernews.com/2022/01/google-details-two-zero-day-bugs.html
