Kritieke kwetsbaarheid in Zoom laat aanvallers code uitvoeren

Zoom

Onderzoekers hebben een zero-day kwetsbaarheid in Zoom ontdekt waarmee hackers een remote code execution aanval kunnen starten. 

De fout werd ontdekt tijdens Pwn2Own, een wedstrijd voor white hat cybersecurity experts waarin ze met elkaar de strijd aan gaan om fouten te ontdekken in populaire software en diensten. Deelnemers aan de wedstrijd kunnen grote geldbedragen winnen. Zo verdienden Daan Keuper en Thijs Alkemande 200.000 dollar met hun Zoom-ontdekking. 

Keuper en Alkemande lieten zien hoe een aanvalsketting met drie bugs een remote code execution lanceerde bij een doelwit. De gebruiker zelf hoefde hiervoor niets te doen. Via een demonstratie lieten ze zien hoe ze het rekenmachineprogramma konden openen op een apparaat waar Zoom op draait. 

De aanval werkt zowel op de Windows als de Mac versie van Zoom. Het is nog niet getest of de bug ook aanwezig is in iOS en Android. Wel weten we dat de bug geen impact heeft op de browserversie van Zoom. 

Tot Zoom een patch heeft uitgebracht voor de kwetsbaarheid, blijven verdere technische details over hoe de fout precies werkt nog even geheim. 

Wachten op de patch

Via een statement bedankte Zoom de onderzoekers en liet weten bezig te zijn om de fout in Zoom Chat te beperken. In-session Zoom Meetings en Zoom Video Webinars worden niet aangetast door de fout, beweert het bedrijf. 

“De aanval moet ook afkomstig zijn van een geaccepteerd extern contact of onderdeel zijn van hetzelfde organisatieaccount als het doelwit”, aldus Zoom. “We raden onze gebruikers aan om alleen verzoeken te accepteren van personen die ze kennen en vertrouwen”. 

Na het ontdekken van een kwetsbaarheid hebben software leveranciers 90 dagen om met een patch te komen. Het is voor gebruikers dus een kwestie van wachten tot er een patch beschikbaar komt. Als je je zorgen maakt over de kwetsbaarheid, kun je in de tussentijd altijd nog de browserversie van Zoom gebruiken.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.