据外媒报道,两位荷兰白帽安全专家参加了一年一度的电脑黑客大赛Pwn2Own,成功找到了Zoom的远程代码执行(RCE)漏洞,并且获得了20万美元的奖励。
Pwn2Own是 "零日倡议 "组织的一项高规格活动,挑战黑客在常用软件和移动设备中发现新的严重漏洞。举办该活动的目的是为了证明流行的软件和设备都有缺陷和漏洞,并为漏洞的地下交易提供一个平衡点。
"目标 "自愿提供自己的软件和设备,并对攻击成功者给予奖励。粉丝们会看到一场黑客奇观,成功的黑客会得到嘉奖和不菲的现金(在这种情况下,奖励高达20万美元),而厂商们则会找到令人讨厌的漏洞。
Pwn2Own 2021从4月6日至4月8日举行。今年活动的重点是在家工作(WFH)时使用的软件和设备,包括Microsoft Teams和Zoom,原因显而易见。
白帽子
受雇于网络安全公司Computest的Keuper和Alkemade在Pwn2wn活动的第二天结合三个漏洞接管了一个远程系统。这些漏洞不需要受害者的互动。他们只需要在一次Zoom通话中。
漏洞
本着负责任的披露态度,该方法的全部细节一直处于保密状态。我们知道的是,这是远程代码执行(RCE)漏洞:作为一类软件安全漏洞,允许恶意行为者通过局域网、广域网或互联网在远程机器上执行他们选择的代码。
该方法在Windows和Mac版本的Zoom软件上有效,但不影响浏览器版本。目前还不清楚iOS-和Android-app是否存在漏洞,因为Keuper和Alkemade并没有对这些进行研究。
Pwn2Own组织在推特上发布了一张gif图,展示了该漏洞的运行情况。你可以看到攻击者在运行Zoom的系统上打开计算器。Calc.exe经常被用作黑客在远程系统上打开的程序,以表明他们可以在受影响的机器上运行代码。
可以理解的是,Zoom还没来得及针对该漏洞发布补丁。他们有90天的时间来发布该漏洞的细节,但预计他们会在这一时期结束之前完成。研究人员在Pwn2Own活动的第二天就发现了这个漏洞,并不意味着他们在这两天就想通了。他们会投入几个月的研究来寻找不同的漏洞,并将它们组合成RCE攻击。
安全工作做得好
这个事件,以及围绕它的程序和协议,很好地展示了白帽黑客的工作方式,以及负责任的信息披露意味着什么。在以补丁的形式为每个人提供现成的保护之前,将细节留给自己(理解为供应商会尽自己的责任,并迅速制作补丁)。
缓解措施
目前,只有这两名黑客和Zoom知道这个漏洞的工作原理。只要保持这样的状态,Zoom用户就没有什么好担心的。对于那些担心的人来说,据说浏览器版本是不会受到这个漏洞的影响的。对于其他的人来说,将需继续关注补丁,在补丁出来后尽早更新。
4月9日更新
Zoom回应了有关Pwn2Own活动的文章。
"我们感谢零日计划允许我们赞助并参与Pwn2Own温哥华2021大赛,这是一项突出安全研究人员所做的关键性和技能性工作的活动。我们非常重视安全问题,非常感谢Computest的研究。
我们正在努力缓解我们的群组消息产品Zoom Chat的这一问题。Zoom Meetings 和 Zoom Video Webinars 中的会话聊天不受此问题影响。攻击还必须来自于已接受的外部联系人,或者是目标的同一组织账户的一部分。
作为最佳实践,Zoom建议所有用户只接受来自他们认识和信任的个人的联系请求。如果您认为自己发现了Zoom产品的安全问题,请将详细的报告发送给我们信任中心的漏洞披露计划。"
(举报)