Zoom werkt aan een patch voor een zero-daylek in de Windows-client van de videoconferencingsoftware, dat deze week werd onthuld door cybersecuritybedrijf Acros Security.
Volgens Acros Security, dat onder meer de tool 0patch ontwikkelt, kan de zero-day alleen worden misbruikt op oudere Windows-versies, zoals Windows 7 en Windows Server 2008 R2, die overigens niet langer door Microsoft worden ondersteund. Zoom-clients die op Windows 8 of Windows 10 draaien, zijn niet kwetsbaar.
“Door het beveiligingslek kan een externe aanvaller willekeurige code uitvoeren op de computer van het slachtoffer waarop Zoom Client voor Windows (elke momenteel ondersteunde versie) is geïnstalleerd, door de gebruiker een typische actie te laten uitvoeren, zoals het openen van een document. Tijdens de aanval wordt de gebruiker geen beveiligingswaarschuwing getoond”, legt Acros-CEO Mitja Kolsek uit in een blogpost.
Micropatch
Acros heeft het lek niet zelf ontdekt, maar werd op de hoogte gesteld door een beveiligingsonderzoeker die verder anoniem wenste te blijven. Het securitybedrijf heeft Zoom op de hoogte gebracht van het lek en publiceerde zelf een micropatch in afwachting tot Zoom een officiële patch uitrolt.
“We hebben dit probleem bevestigd en werken momenteel aan een patch om het snel op te lossen”, laat een woordvoerder van Zoom weten aan ZDNet. Het bedrijf kon evenwel nog geen concrete timeline geven voor wanneer de patch beschikbaar zou zijn.
Acros deelde geen technische details over de kwetsbaarheid, maar demonstreert in een video wel hoe het lek kan worden misbruikt, en hoe de update van 0patch ertegen beschermt.