Zoom corrige un trou de prise de contrôle de compte

Lucas Morel

Le bug, qualifié de « urgent », a été détecté en interne, ce qui, selon les consultants, constitue un changement bienvenu par rapport à ceux découverts par les utilisateurs ou des tiers.

Zoom a identifié et corrigé une faille de sécurité critique qui « pourrait permettre à un utilisateur non authentifié de prendre le contrôle d’un compte via un accès au réseau ».

Le problème est particulièrement important compte tenu de la portée étendue de Zoom ; il compterait plus de 300 millions d’utilisateurs actifs quotidiens, dont 470 000 clients professionnels payants. Compte tenu de cette portée, Zoom a été touché par de nombreux autres incidents de sécurité et la France a récemment tenté d’interdire son utilisation aux utilisateurs du gouvernement français.

Les bulletins de sécurité de Zoom publiés mardi ont révélé le bug ainsi que trois autres problèmes de sécurité, que Zoom a corrigés mercredi.

La société a initialement déclaré que le problème de prise de contrôle affectait Zoom Desktop Client pour Windows avant la version 7.0.0, Zoom VDI Client pour Windows avant les versions 7.0.10 et 6.6.15 et 6.5.18 dans leurs branches respectives, et Zoom Meeting SDK pour Windows, mais mercredi, sans explication, elle a supprimé Meeting SDK pour Windows en tant que produit concerné.

Les trois autres failles étaient moins graves, mais néanmoins importantes, et elles impliquaient toutes une élévation des privilèges. Ils ont impacté Zoom Workplace pour Windows avant la version 7.0.5, Zoom Workplace VDI Client pour Windows avant 6.5.17 et 6.6.14 dans leurs branches respectives, Zoom Workplace VDI Plugin pour Windows avant 6.5.17 et 6.6.14 dans leurs branches respectives, Zoom Rooms pour Windows avant 7.0.5 et Remote Control pour Zoom Contact Center pour Windows avant la version 7.0.0.

Un deuxième problème d’élévation de privilèges a impacté Zoom Rooms pour Windows avant la version 7.1.0, et un autre a impacté le plug-in Zoom Workplace VDI pour Windows avant la version 6.6.14.

Zoom n’a pas immédiatement répondu à une demande de commentaire.

« Aussi mauvais que cela puisse être »

Frank Dickson, vice-président du groupe chargé de la sécurité chez IDC, a déclaré que la nature de la faille signalée était alarmante.

Ce bug « est aussi grave que possible, à moins d’un ver. Il est exploitable sur le réseau, peu complexe, aucun privilège requis, aucune interaction de l’utilisateur n’est nécessaire », a-t-il déclaré, soulignant que l’exploitation est facile une fois que les détails techniques ont été divulgués ou que quelqu’un a effectué une rétro-ingénierie du correctif, ce qui n’est plus aussi difficile qu’avant, grâce à l’IA. « Les script kiddies d’hier ont été responsabilisés », a-t-il déclaré.

Dickson a déclaré que la seule bonne nouvelle est que Zoom a découvert le trou lui-même et qu ‘«aucune exploitation dans la nature n’a été signalée par aucun média à la date de jeudi».

Le consultant Brian Levine, directeur exécutif de FormerGov, était d’accord avec la caractérisation du trou par Dickson, mais a déclaré qu’un problème potentiellement plus important était le niveau élevé de données sensibles auxquelles Zoom accède.

« Un attaquant disposant d’un accès illimité à un compte Zoom peut être en mesure d’écouter des enregistrements de réunions sensibles, d’écouter des réunions futures et de se faire passer pour l’organisation dans le but d’influencer socialement ses clients et ses partenaires. Ainsi, étant donné l’omniprésence de Zoom dans les grandes entreprises, cette vulnérabilité est assez préoccupante », a déclaré Levine.

Il est cependant encouragé par le fait que Zoom a découvert la faille lui-même, ce qui indique que son équipe de sécurité « effectue en fait le travail difficile et peu glamour d’audit de son code ».

Giuseppe Trotta, chercheur principal en sécurité chez Malwarebytes, a une théorie sur ce qui se cache derrière la divulgation de Zoom.

« Étant donné que la vulnérabilité ne nécessite aucun privilège et absolument aucune interaction de l’utilisateur, le vecteur d’attaque du réseau distant est fortement suspecté d’impliquer une mauvaise gestion des liens profonds, tels que des schémas d’URL personnalisés comme ou », a-t-il déclaré. Cela l’a amené à penser que si le client Zoom Workplace pour Windows ne parvient pas à nettoyer et à valider correctement les arguments entrants transmis via ces liens spéciaux du navigateur vers le bureau, un attaquant non authentifié pourrait créer une chaîne malveillante qui pourrait tromper l’application de bureau pour qu’elle expose ou redirige les jetons de session active de l’utilisateur directement vers un serveur contrôlé par un attaquant, obtenant ainsi une prise de contrôle de compte transparente et totalement silencieuse.

« Faites attention aux liens et aux invitations Zoom si vous êtes sous Windows ou VDI et que vous n’avez pas encore mis à jour », a-t-il conseillé.

Mike Wilkes, RSSI d’entreprise chez Aikido Security, a félicité Zoom pour avoir découvert la faille critique, mais il voulait savoir comment un bug aussi grave était initialement entré dans son logiciel.

« Cette vulnérabilité soulève des questions sur les raisons pour lesquelles le défaut n’a pas été détecté par la révision de la conception, le fuzzing ou les tests de cas d’abus avant la publication », a déclaré Wilkes. « Un défaut historique dans la relation produit/sécurité de Zoom a été de donner la priorité à la facilité d’utilisation plutôt qu’au risque de sécurité. »

Les quatre bugs sont importants

Justin Greis, PDG du cabinet de conseil Acceligence, a déclaré que les deux types de failles signalées par Zoom, le rachat de compte et l’escalade, sont tous deux importants, mais pour des raisons différentes.

« La vulnérabilité critique est importante car elle présente les caractéristiques qui préoccupent le plus les équipes de sécurité », a déclaré Greis, mais les failles d’élévation des privilèges « sont certainement importantes à corriger car elles augmentent principalement l’impact d’une attaque qui a déjà commencé. La vulnérabilité critique a le potentiel d’être un point d’entrée initial, c’est pourquoi elle mérite le plus d’attention. »

Greis a également applaudi la réponse de Zoom, affirmant qu’elle « reflète un programme de sécurité raisonnablement mature ».

Il a souligné qu’aucune plate-forme logicielle complexe ne parviendra à éliminer entièrement les vulnérabilités. « Ce qui fait la différence, c’est que les fournisseurs investissent continuellement dans des tests offensifs, détectent les faiblesses avant les attaquants et agissent rapidement pour développer et distribuer des correctifs », a-t-il déclaré.

VulnérabilitésSécuritéIndustrie technologique