Nederlandse onderzoekers publiceren details kritieke Zoom-kwetsbaarheid

[Captain Kirk]

De Nederlandse beveiligingsonderzoekers Daan Keuper en Thijs Alkemade die eerder dit jaar 200.000 dollar verdienden met een succesvolle aanval tegen Zoom hebben nu de details van de gebruikte kwetsbaarheden en hun onderzoek gepresenteerd. De twee onderzoekers van it-bedrijf Computest deden in april mee met de jaarlijkse Pwn2Own-wedstrijd.

Tijdens deze wedstrijd worden beveiligingsonderzoekers beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten, zoals browsers, zakelijke applicaties, serversoftware en virtualisatiesoftware. Vanwege het vele thuiswerken door de coronapandemie werd besloten om tijdens de editie van dit jaar videobelsoftware als nieuwe categorie toe te voegen. Onderzoekers konden zowel kiezen uit Zoom als Microsoft Teams.

In hun blogpost over het onderzoek leggen Keuper en Alkemade uit dat ze voor Zoom kozen omdat de software is geschreven in C++, in tegenstelling tot Microsoft Teams, dat ontwikkeld is via het Electron-framework met een klein aantal libraries in C++ voor platformintegratie. De onderzoekers stellen dat de meest waarschijnlijke aanvalsvector in het geval van Teams cross-site scripting zou zijn, terwijl bij Zoom memory corruption voor de hand lag. Uiteindelijk werd voor Zoom gekozen omdat Keuper en Alkemade naar eigen zeggen liever onderzoek doen naar memory corruption dan cross-site scripting.

De onderzoekers vonden vervolgens een kwetsbaarheid in een functie waarmee gebruikers een versleuteld bericht met een symmetrische sleutel kunnen versturen. Hierdoor was het mogelijk een buffer overflow binnen Zoom te veroorzaken die uiteindelijk het uitvoeren van code op het systeem van de gebruiker mogelijk maakte. Daarbij was er geen interactie van de gebruiker vereist.

Keuper en Alkemade waren anderhalve week bezig voordat ze de primaire kwetsbaarheid vonden. Het schrijven en testen van de exploit waarmee de kwetsbaarheid kon worden uitgebuit nam nog eens anderhalve maand in beslag. Zoom heeft de kwetsbaarheden die de onderzoekers voor hun aanval gebruikten inmiddels verholpen.

 

bron: https://www.security.nl