Ivan Fratic, chercheur en sécurité de l’équipe Google’s Project Zero a mis au jour une chaîne de vulnérabilités de sécurité majeure sur la solution de visioconférence Zoom.
Cette faille de sécurité affecte le chat et permet d’exécuter un code sur un poste distant par le simple envoi d’un message et ce sans aucune interaction de l’utilisateur.
Une chaîne de six vulnérabilités sur Zoom
Ivan Fratric a décrit un total de six vulnérabilités. Deux de ces failles, dénommées CVE-2022-25235 et CVE-2022-25236, affectent le module open source XML parser Expat.
Les vulnérabilités spécifiques à Zoom sont liés à une analyse XML incorrecte (CVE-2022-22784), au déclassement des paquets de mise à jour (CVE-2022-22786), à une validation insuffisante du nom d’hôte (CVE-2022-22787) et à des cookies de session mal définis (CVE-2022-22785).
CVE-2022-22786 affecte Zoom Client for Meetings pour Windows et Zoom Rooms for Conference Room pour Windows. Les autres affectent Zoom Client for Meetings sur toutes les plateformes de bureau et mobiles.
Une attaque de type Man In a middle
L’attaque MitM est réalisé par l’envoi d’un message spécial ce qui avec une version Zoom datant de mi-2019 permet la connexion de clients au serveur Man In a middle.
Une fois en position de Man In a middle l’assaillant pourra remplacer n’importe lequel des domaines par le sien, agissant comme un proxy inverse et interceptant les communications
Exploitation du process de mise à jour du client
L’étape d’après c’est l’exécution du code malveillant. Etant donné que les clients Zoom interrogent périodiquement le point de terminaison de mise à jour du serveur Web de Zoom pour voir s’il y a quelque chose de nouveau à installer.
« Puisque l’attaquant est déjà en position de MitM, il peut, bien sûr, remplacer ces points de terminaison et servir des données arbitraires », selon le chercheur.
Le chercheur en sécurité a cependant rencontré un problème : Le client télécharge deux fichiers dans le cadre du processus de mise à jour et vérifie leur légitimité – le fichier « Installer.exe » doit être signé par « Zoom Video Communications, Inc. » pour commencer ; une fois installé, il vérifie le hachage du second fichier .cab.
Cependant, il s’avère que les attaquants peuvent contourner ces obstacles grâce à une attaque par rétrogradation.
« J’ai servi Installer.exe et .cab de la version 4.4 de Zoom (de mi-2019) », explique Ivan Fratic. « L’installateur de cette version est toujours correctement signé ; cependant, il n’effectue aucun contrôle de sécurité sur le fichier .cab. »
Mises à jour du client Zoom
Au total il a été signalé un total de six vulnérabilités de sécurité, dont quatre problèmes spécifiques à Zoom corrigés dans la version 5.10.4 du client Zoom :
CVE-2022-22784 (analyse XML incorrecte)
CVE-2022-22786 (déclassement du paquet de mise à jour),
CVE-2022-22787 (validation insuffisante du nom d'hôte),
CVE-2022-22785 (cookies de session incorrectement contraints).Il y a malheureusement aussi un problème de chaîne d’approvisionnement de logiciels à l’œuvre : Les deux autres (CVE-2022-25235, CVE-2022-25236) affectent le parseur Expat, qui est open source et utilisé dans de nombreuses autres applications. Ils sont corrigés dans la version 2.4.5 d’Expat.
« Certaines ou toutes les parties de la chaîne sont probablement applicables à d’autres plateformes », a déclaré Ivan Fratric.
Ces vulnérabilités ont été découverte en février. Zoom a corrigé ses problèmes côté serveur le même mois, puis publié des mises à jour le 24 avril.