اخبار امنیت

کشف چندین آسیب‌پذیری در نرم‌افزار Zoom

۲۵ مرداد ۱۳۹۹

کشف چندین آسیب‌پذیری در نرم‌افزار Zoom

نرم‌افزار محبوب ویدیوکنفرانس Zoom چندین آسیب‌پذیری را در نسخه اخیر خود برطرف نموده است. دو مورد از این آسیب‌پذیری‌ها که نسخه لینوکسی این نرم‌افزار را تحت تأثیر قرار داده بود به مهاجمی که به سیستم نفوذ کرده اجازه دسترسی و سرقت داده‌های کاربر را می‌داد و حتی مهاجم قادر بود به صورت مخفیانه در قالب Process یک نرم‌افزار معتبر، بدافزاری را به اجرا درآورد.

به نقل از «مازین احمد» محقق امنیت سایبری، که یافته‌های خود را در کنفرانس DEF CON 2020 ارائه داد، شواهدی از توسعه اشتباه نرم‌افزار Zoom، مشاهده شده که به نظر می‌رسد از سپتامبر ۲۰۱۹ تاکنون به‌روزرسانی نشده‌اند و این موضوع نشان می‌دهد که سرویس‌دهنده این نرم‌افزار می‌تواند مستعد بروز آسیب‌پذیری‌هایی باشد که بدون وصله باقی مانده‌اند. پس از گزارش محرمانه احمد در ماه آوریل و ژوئیه امسال، شرکت مذکور با انتشار نسخه ۵٫۲٫۴ نرم‌افزار Zoom در سوم آگوست، این آسیب‌پذیری‌ها را برطرف نمود. گفتنی است که بهره‌برداری از برخی از این آسیب‌پذیری‌ها نیازمند این بود که مهاجم به نحوی به سیستم مورد حمله دسترسی داشته باشد. اما این از اهمیت موضوع چیزی را کم نمی‌کند.

در یک سناریو، احمد، نقصی را در رابطه با لانچر نرم‌افزار Zoom در سیستم‌عامل لینوکس مطرح کرد که به موجب آن مهاجم قادر بود نرم‌افزار غیرمجازی را اجرا کند که بدنبال آن منجر به اجرای نرم‌افزار Zoom می‌شد. احمد در تحلیل خود اینگونه عنوان کرد که این آسیب‌پذیری، امنیت لیست سفید نرم‌افزار Zoom را از کار انداخته و به بدافزار اجازه می‌دهد تا در قالب زیرفرآیندِ (Sub-process) این نرم‌افزار اجرا گردد. این موضوع به طراحی/امنیت ناکارامد نرم‌افزار Zoom اشاره دارد.

در همین راستا، درصورتی که مهاجم به دستگاه قربانی دسترسی داشته باشد می‌تواند از طریق نفوذ به پایگاه داده محلی، داده‌های کاربر و اطلاعات پیکربندی نرم‌افزار را مشاهده کرده و یا به سرقت ببرد. حتی امکان دسترسی به پیام‌های مکالمه ذخیره شده بر روی سیستم به صورت Plaintext (بدون رمزنگاری) نیز وجود دارد. ضمناً دو آسیب‌پذیری دیگر نیز در نرم‌افزار Zoom شناسایی گردید که شامل سرویس احراز هویت Kerberos با قابلیت دسترسی از بیرون (“ca01.idm.meetzoom.us”) و مشکل مرتبط با پروتکل TLS/SSL که به بدافزار اجازه تزریق Certificate دلخواه را درون پایگاه داده محلی نرم‌افزار Zoom می‌داد.

شرکت Zoom در خصوص آسیب‌پذیری تزریق Certificate اینگونه توضیح داد که این ویژگی در واقع امکان سنجاق نمودن Certificate را فراهم کرده و به کاربر اجازه می‌دهد تا Certificate دلخواه خود را بارگذاری نماید. کاربر می‌تواند در پایگاه داده خودش، داده وارد کند اما این امکان برای کاربران غیر root وجود ندارد. این بهترین روش برای اجرای برنامه‌ها با دسترسی متناسب با سطح کاربر است و اجرای نرم‌افزار Zoom در سطح کاربر root مخاطرات امنیتی زیادی را برای نرم‌افزار و مشتریان ما ایجاد خواهد کرد.

احمد در ادامه با امکان سوءاستفاده از ویژگی تصویر پروفایل در نرم‌افزار Zoom، از آسیب‌پذیری نشت حافظه پرده‌برداری کرد. این آسیب‌پذیری به مهاجم اجازه بارگذاری یک فایل GIF مخرب به عنوان تصویر پروفایل را می‌دهد. سپس فایلِ پردازش شده، دریافت می‌گردد و با استخراج داده از آن، قسمت‌هایی از حافظه سیستم افشا خواهد شد.

شرکت Zoom در این باره گفت: پس از بررسی‌های انجام شده به این نتیجه رسیدیم که این رفتار، آسیب‌پذیری نشت حافظه نیست بلکه نرم‌افزار تلاش می‌کند تا تصویر ناقص GIF را به یک فایل JPEG تبدیل کند. گرچه احمد معتقد است که این نقص بدلیل آسیب‌پذیری شناخته شده در نرم‌افزار تبدیل تصویر ImageMagick (CVE-2017-15277) رخ می‌دهد. شرکت Zoom هم در پاسخ اظهار داشت که نرم‌افزار Zoom از این ابزار برای تبدیل تصاویر GIF به JPEG استفاده نمی‌کند.

سازندگان نرم‌افزار Zoom در پاسخ به آسیب‌پذیری‌های افشا شده، سرویس‌دهنده احراز هویت Kerberos را برای جلوگیری از حملات Brute-Force متوقف ساختند. همچنین به این موضوع اشاره کردند که در حال کار بر روی بهبود رمزنگاری گزارش‌های مکالمات ذخیره شده توسط نرم‌افزار هستند. این در حالی است که ماه گذشته، توسعه‌دهندگان این نرم‌افزار، یک آسیب‌پذیری بحرانی که منجر به شکستن گذرواژه مورد استفاده در گفتگوهای خصوصی می‌شد را برطرف نمودند. به نقل از سازندگان Zoom، تمام آسیب‌پذیری‌های اشاره شده در نسخه جدید نرم‌افزار برطرف شده‌اند. آرمان داده پویان به تمام کاربران نرم‌افزار Zoom توصیه می‌کند که برای جلوگیری از مخاطرات ناشی از این آسیب‌پذیری‌ها، حتما نرم‌افزار خود را به آخرین نسخه موجود به‌روزرسانی کنند.

تعداد بازدید: 94