Nhà nghiên cứu của Google Project Zero đã tìm thấy một lỗi trong phân tích cú pháp XML trên máy khách và máy chủ Zoom.
Zoom đã vá một lỗ hổng ở mức độ trung bình, khuyên người dùng Windows, macOS, iOS và Android cập nhật phần mềm máy khách của họ lên phiên bản 5.10.0.
Nhà nghiên cứu bảo mật của Google Project Zero, Ivan Fratric ghi nhận trong một báo cáo rằng kẻ tấn công có thể khai thác máy của nạn nhân qua một cuộc trò chuyện thu phóng. Lỗi, được theo dõi là CVE-2022-22787, có xếp hạng mức độ nghiêm trọng CVSS là 5.9.
“Sự tương tác của người dùng là không cần thiết cho một cuộc tấn công thành công. Khả năng duy nhất mà kẻ tấn công cần là có thể gửi tin nhắn cho nạn nhân qua trò chuyện Zoom qua giao thức XMPP, ”Ivan giải thích.
Vì vậy, được gọi là các cuộc tấn công bằng không nhấp chuột không yêu cầu người dùng thực hiện bất kỳ hành động nào và đặc biệt mạnh mẽ vì ngay cả những người dùng hiểu biết về công nghệ nhất cũng có thể trở thành con mồi của họ.
XMPP là viết tắt của Extensible Messaging Presence Protocol và được sử dụng để gửi các phần tử XML được gọi là stanzas qua kết nối luồng để trao đổi tin nhắn và thông tin hiện diện trong thời gian thực. Giao thức nhắn tin này được Zoom sử dụng cho chức năng trò chuyện của nó.
Trong một bản tin an ninh được xuất bản bởi Zoom, CVE-2022-22786 (Điểm CVSS 7.5) ảnh hưởng đến người dùng Windows, trong khi CVE-2022-22784, CVE-2022-22785và CVE-2022-22787 đã ảnh hưởng đến các phiên bản máy khách Zoom trước 5.10.0 chạy trên các hệ thống Android, iOS, Linux, macOS và Windows.
Hoạt động của lỗi
Lỗ hổng ban đầu được Ivan mô tả là “buôn lậu khổ thơ XMPP” lạm dụng phân tích cú pháp không nhất quán giữa trình phân tích cú pháp XML trong phần mềm máy khách và máy chủ Zoom để “chuyển lậu” các khổ thơ XMPP tùy ý vào máy nạn nhân.
Kẻ tấn công gửi một đoạn văn kiểm soát được chế tạo đặc biệt có thể buộc máy khách nạn nhân kết nối với một máy chủ độc hại, do đó dẫn đến nhiều kiểu tấn công từ giả mạo thông báo đến gửi thông báo kiểm soát.
Ivan lưu ý rằng “vectơ có tác động mạnh nhất” trong lỗ hổng buôn lậu khổ thơ XMPP là việc khai thác “nhiệm vụ ClusterSwitch trong ứng dụng khách Zoom, với“ miền web ”do kẻ tấn công kiểm soát làm tham số”.
