Popüler video konferans hizmeti Zoom, özel hazırlanmış Genişletilebilir Mesajlaşma ve Durum Protokolü (XMPP) mesajları göndererek ve kötü amaçlı kod yürüterek sohbet üzerinden başka bir kullanıcının güvenliğini aşmak için kullanılabilecek dört adet güvenlik açığını çözmüştür.
CVE-2022-22784’ten CVE-2022-22787’ye kadar izlenen sorunların önem derecesi 5,9 ile 8,1 arasında değişmektedir. Google Project Zero’dan Ivan Fratric, Şubat 2022’de dört kusurun tamamını keşfedip bildirdiği için itibar kazanmıştır.
Hataların listesi aşağıdaki gibidir:
- CVE-2022-22784 (CVSS puanı: 8.1) – Toplantılar için Zoom İstemcisinde yanlış XML ayrıştırma
- CVE-2022-22785 (CVSS puanı: 5.9) – Toplantılar için Zoom İstemcisinde uygun olmayan şekilde kısıtlanmış oturum çerezleri
- CVE-2022-22786 (CVSS puanı: 7.5) – Windows Toplantılar için Zoom İstemcisinde paket düşürmeyi güncelleme
- CVE-2022-22787 (CVSS puanı: 5.9) – Toplantılar için Zoom İstemcisinde sunucu geçişi sırasında yetersiz ana bilgisayar adı doğrulaması
Zoom’un XMPP standardının üzerine inşa edilmiş sohbet işleviyle, sorunlardan başarılı bir şekilde yararlanılması; bir saldırganın, güvenlik açığı bulunan bir istemciyi bir Zoom kullanıcısını maskelemeye, zararlı bir sunucuya bağlanmaya ve hatta sahte bir güncelleme indirmeye zorlayarak bir sürüm düşürme saldırısından kaynaklanan rastgele kod yürütmesine neden olabilir.
Fratric, zero-click saldırı dizisini “XMPP Stanza Smuggling” vakası olarak adlandırdı ve “bir kullanıcı, mesajları başka bir kullanıcıdan geliyormuş gibi taklit edebilir” ve “bir saldırgan, sunucudan geliyormuş gibi kabul edilebilecek kontrol mesajları gönderebilir” diye ekledi.
Özünde, sorunlar, kurban istemciye rastgele XMPP kıtalarını (XMPP’deki temel bir iletişim birimi) “kaçak” etmek için Zoom’un istemcisindeki ve sunucusundaki XML ayrıştırıcıları arasındaki tutarsızlıkların ayrıştırılmasından yararlanır.
Spesifik olarak, istismar zinciri, yazılım güncelleme mekanizmasını ele geçirmek ve istemcinin, Zoom istemcisinin eski, daha az güvenli bir sürümünü sunan bir man-in-the-middle sunucusuna bağlanmasını sağlamak için silahlandırılabilir.
Sürüm düşürme saldırısı, uygulamanın Windows sürümünü öne çıkarırken, CVE-2022-22784, CVE-2022-22785 ve CVE-2022-22787; Android, iOS, Linux, macOS ve Windows’u etkiler.
Yamalar, Zoom’un yerel ayrıcalık yükselmesine ve şirket içi Toplantı hizmetlerinde bellek içeriğinin açığa çıkmasına neden olabilecek iki yüksek önemdeki kusuru (CVE-2022-22782 ve CVE-2022-22783) ele almasından bir ay sonra geldi. Ayrıca, Zoom’un macOS uygulamasında bir başka sürüm düşürme saldırısı (CVE-2022-22781) durumu da düzeltildi.
Uygulama kullanıcılarının, kusurların aktif olarak kullanılmasından kaynaklanan olası tehditleri azaltmak için en son sürüme (5.10.0) güncelleme yapmaları önerilmektedir.
Kaynak: https://thehackernews.com/2022/05/new-zoom-flaws-could-let-attackers-hack.html
