Alerta de bug de zoom: esta vulnerabilidade de aplicativo de zoom permite que hackers sequestrem sua reunião de negócios (03.19.24)
A videoconferência para o trabalho é quase sempre monótona, em que uma das partes se apresenta, muitas sintonizam e ouvem (ou riem das menores coisas) e algumas causam falhas no som. Mas há um tipo diferente de empolgação que você não quer que aconteça com você durante essas reuniões de negócios online: um bug do Zoom assumindo o controle.
Imagine isto: uma parte não autorizada (vamos chamá-lo de hacker) assume o controle da tela durante a reunião do Zoom e, em seguida, envia mensagens obscenas e inadequadas para os outros participantes. Este foi um problema recente para o Zoom com uma nova vulnerabilidade em seu aplicativo de desktop para seu serviço de bate-papo por vídeo.
A boa notícia, no entanto, é que o Zoom já corrigiu com sucesso esse grave bug de videoconferência.
Bug de zoom: os detalhes desagradáveisO pesquisador de segurança cibernética David Wells, da Tenable, fez a descoberta no aplicativo para desktop do Zoom, descrevendo-o como algo que permite que um invasor controle a tela de um usuário desavisado e envie mensagens de chat em seu nome. O ataque também expulsou as pessoas do videoconferência!
O problema envolvia pacotes UDP, um hack familiar para dispositivos da Internet das Coisas (IoT). Com esse bug do Zoom, qualquer comando interceptado pelos aplicativos do Windows, Mac e Linux era considerado literalmente. Isso significa que o invasor pode enviar o código corrompido e ter a rédea livre para fazer tudo, desde entrar na chamada privada até expulsar outros participantes.
“Isso permite que um invasor crie e envie bolsos UPD que sejam interpretados como mensagens processadas do canal TCP confiável usado por servidores Zoom autorizados ”, explicou o blog Tenable.
A vulnerabilidade do aplicativo Zoom essencialmente permitia que um invasor ou participante desonesto:
- Controles de tela de sequestro , que ignora as permissões e permite que o invasor envie pressionamentos de tecla e movimentos do mouse para assumir o controle total da área de trabalho.
- Mensagens de bate-papo falsificadas , que se faz passar por usuários legítimos na chamada.
- Expulse os participantes da chamada mesmo sem encontrar o anfitrião.
Conforme descrito na postagem, a falha veio à tona devido à validação inadequada da mensagem. Uma entidade mal-intencionada simplesmente precisava saber o endereço IP do servidor Zoom para explorar a vulnerabilidade recente.
O cliente Zoom para vulnerabilidade de falsificação de mensagens em reuniões tinha o código oficial CVE-2018-15715. Ele afetou as seguintes versões:
- Windows 10, Zoom 4.1.33259.0925
- macOS 10.13, Zoom 4.1.33259.0925
- Ubuntu 14.04, Zoom 2.4. 129780.0915
A Zoom, que tem cerca de 750.000 empresas usando seus serviços, agiu imediatamente após Wells relatar o bug. Ele corrigiu seu servidor para proteger os usuários de qualquer ataque em potencial.
Além disso, lançou atualizações para seus aplicativos Windows, Mac e Linux para corrigir o problema. As versões mais recentes do aplicativo são 4.1.34814.1119 para Windows e 4.1.34801.1116 para Mac OS. No entanto, os usuários terão que atualizar manualmente os seus para proteção contra sequestro no meio de uma chamada.
O Zoom se compromete a manter suas informações seguras por meio de criptografia sempre que você fizer login por meio de seu site, software ou aplicativo . Mas aqui estão algumas dicas adicionais para uma experiência segura do Zoom:
A vulnerabilidade do aplicativo Zoom recentemente descoberta e divulgada colocou as reuniões de negócios em risco ao interromper conferências e sequestrar controles de tela, falsificar mensagens de bate-papo e excluir atendidos da chamada.
Zoom resolveu o problema rapidamente corrigindo seu servidor e lançando atualizações para seus aplicativos Windows, Mac e Linux.
Você foi afetado por esse bug recente do Zoom? Conte-nos sobre sua experiência!
Vídeo do youtube: Alerta de bug de zoom: esta vulnerabilidade de aplicativo de zoom permite que hackers sequestrem sua reunião de negócios
03, 2024