World

Kerentanan Zoom kritis diperbaiki minggu lalu tidak memerlukan interaksi pengguna


Kerentanan Zoom kritis diperbaiki minggu lalu tidak memerlukan interaksi pengguna

Perbesar

Tim peneliti kerentanan Project Zero Google merinci kerentanan kritis yang ditambal Zoom minggu lalu sehingga memungkinkan peretas untuk melakukan serangan tanpa klik yang menjalankan kode berbahaya dari jarak jauh pada perangkat yang menjalankan perangkat lunak perpesanan.

Dilacak sebagai CVE-2022-22786 dan CVE-2022-22784, kerentanan memungkinkan untuk melakukan serangan bahkan ketika korban tidak mengambil tindakan selain membuka klien. Seperti yang dirinci pada hari Selasa oleh peneliti Google Project Zero Ivan Fratric, inkonsistensi dalam cara klien Zoom dan server Zoom mengurai pesan XMPP memungkinkan untuk “menyelundupkan” konten di dalamnya yang biasanya akan diblokir. Dengan menggabungkan kekurangan tersebut dengan kesalahan dalam cara kerja verifikasi penandatanganan kode Zoom, Fratric mencapai eksekusi kode penuh.

“Interaksi pengguna tidak diperlukan untuk serangan yang berhasil,” tulis peneliti. “Satu-satunya kemampuan yang dibutuhkan penyerang adalah dapat mengirim pesan ke korban melalui obrolan Zoom melalui protokol XMPP.” Fratric melanjutkan:

Kerentanan awal (berlabel XMPP Stanza Smuggling) menyalahgunakan parsing inkonsistensi antara parser XML pada klien Zoom dan server agar dapat “menyelundupkan” stanza XMPP sewenang-wenang ke klien korban. Dari sana, dengan mengirimkan bait kontrol yang dibuat khusus, penyerang dapat memaksa klien korban untuk terhubung ke server jahat, sehingga mengubah primitif ini menjadi serangan man-in-the-middle. Terakhir, dengan mencegat/memodifikasi permintaan/tanggapan pembaruan klien, klien korban mengunduh dan menjalankan pembaruan berbahaya, yang menghasilkan eksekusi kode arbitrer. Serangan downgrade klien digunakan untuk melewati pemeriksaan tanda tangan pada penginstal pembaruan. Serangan ini telah didemonstrasikan terhadap klien (5.9.3) terbaru yang berjalan pada Windows 64-bit, namun beberapa atau semua bagian dari rantai kemungkinan berlaku untuk platform lain.

Pada bulan Desember, Zoom akhirnya bergabung dengan abad ke-21 ketika memberi klien macOS dan Windows kemampuan untuk memperbarui secara otomatis. Tingkat keparahan kerentanan yang diperbaiki minggu lalu menggarisbawahi pentingnya pembaruan otomatis. Seringkali, dalam beberapa jam atau hari setelah pembaruan seperti ini tersedia, peretas telah merekayasa balik dan menggunakannya sebagai peta jalan eksploitasi. Namun, salah satu komputer yang biasa saya gunakan untuk Zoom belum menginstal tambalan sampai hari Rabu, ketika saya berpikir untuk memilih opsi “Periksa Pembaruan”.

Agar klien Zoom saya memperbarui otomatis, itu harus menjalankan versi perantara terlebih dahulu. Setelah saya memperbarui secara manual, pembaruan otomatis akhirnya ada. Pembaca mungkin ingin memeriksa sistem mereka untuk memastikan mereka juga menjalankan versi terbaru.

Artikel ini telah tayang pertama kali di situs arstechnica.com

Related Articles

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Back to top button