Vulnerabilidades de zoom comprometem privacidade e servidores MMR

Recentemente, duas vulnerabilidades relacionadas ao Zoom estão circulando na Internet, que não explora apenas as informações dos clientes e também os servidores MMR. Uma análise foi publicada por uma pesquisadora do Projeto Zero chamada Natalie Silvanovich, que destacou as falhas de segurança associadas a esta plataforma de streaming de vídeo.

Vulnerabilidades de zoom: o novo Talk of Town

Ao falar sobre as vulnerabilidades, o pesquisador disse:

“No ado, eu não priorizava a revisão do Zoom porque acreditava que qualquer ataque contra um cliente Zoom exigiria vários cliques de um usuário”, explicou o pesquisador. “Dito isso, provavelmente não é tão difícil para um invasor dedicado convencer um alvo a participar de uma chamada do Zoom, mesmo que sejam necessários vários cliques, e a maneira como algumas organizações usam o Zoom apresenta cenários de ataque interessantes.”

Silvanovich descobriu dois bugs na plataforma:

• Um problema de estouro de buffer que afetou os clientes Zoom e os Roteadores Multimídia Zoom (MMRs)
• Falha de segurança de vazamento de informações central para servidores MMR

Além disso, também foi constatada a falta de Address Space Layout Randomization (ASLR), um mecanismo de segurança que protege contra ataques de corrupção de memória.

“O ASLR é sem dúvida a mitigação mais importante na prevenção da exploração da corrupção de memória, e a maioria das outras mitigações depende dele em algum nível para ser eficaz. “Não há uma boa razão para que ele seja desativado na grande maioria dos softwares.”

Esses bugs estão comprometendo a privacidade de reuniões virtuais que são realizadas sem criptografia de ponta a ponta.

“Essas barreiras à pesquisa de segurança provavelmente significam que o Zoom não é investigado com a frequência que poderia ser, potencialmente levando a erros simples que não são descobertos. “O software de código fechado apresenta desafios de segurança únicos, e o Zoom pode fazer mais para tornar sua plataforma ível a pesquisadores de segurança e outros que desejam avaliá-la.”

Enquanto as vulnerabilidades são descobertas, o Zoom está trabalhando para corrigi-las. Vamos ver quando o problema será resolvido.