La semaine dernière, le chercheur Jonathan Leytsach a publié un article très émouvant sur les
vulnérabilités du client de conférence Web Zoom pour macOS. Dans ce cas, il n'est pas tout à fait clair si la vulnérabilité était un bogue involontaire ou une fonctionnalité pré-planifiée. Essayons de le comprendre, mais en bref, cela se passe comme suit: si vous avez installé le client Zoom, un attaquant peut vous connecter à son groupe de discussion sans demande, de plus, il peut activer une webcam sans demander d'autorisations supplémentaires.
Le moment où, au lieu de rechercher une version corrigée, quelqu'un décide de supprimer simplement le client du système. Mais dans ce cas, cela n'aidera pas: un serveur Web est installé avec le client, ce qui fonctionne même après la désinstallation - il est même capable de «retourner» le logiciel client à sa place. Ainsi, même ceux qui ont utilisé les services de Zoom, mais se sont arrêtés, étaient en danger. Apple est venu à leur aide, sans grande fanfare, qui a supprimé le serveur Web avec une mise à jour pour le système d'exploitation. Cette histoire est un véritable drame d'infosec, dans lequel les utilisateurs ne peuvent que voir comment divers logiciels apparaissent et disparaissent sur leurs ordinateurs.
L’étude des méthodes de travail du client Zoom a commencé par l’étude du serveur Web local: le site Web du service tente d’y accéder lors de l’ouverture d’un lien pour se connecter au groupe de discussion. Une méthode relativement élégante a été utilisée pour interroger l'état d'un serveur local - en transmettant une image d'un certain format.
Ceci est fait pour contourner les limitations du navigateur en suivant les règles du
partage des ressources d'origine croisée . Vous pouvez également envoyer une demande de connexion de conférence au serveur Web Zoom. Cette requête ressemble à ceci:
Vous pouvez créer une conférence, placer une demande similaire sur une page Web, envoyer un lien à la victime et le client installé sur l'ordinateur connectera automatiquement l'utilisateur. De plus, il vaut la peine d'examiner les paramètres de la conférence Web elle-même:
Vous avez la possibilité de forcer la webcam de l'utilisateur à s'allumer. Autrement dit, vous pouvez attirer une personne sans méfiance dans une conférence téléphonique et obtenir immédiatement une image de la caméra (mais la victime devra activer manuellement le son du microphone). Dans le client Zoom, l'inclusion automatique de la caméra peut être bloquée, mais avec les paramètres par défaut, la caméra s'allume immédiatement. Soit dit en passant, si vous envoyez des demandes de connexion à la conférence en continu, l'application Zoom basculera constamment sur elle-même, empêchant ainsi l'utilisateur d'annuler cette action. Il s'agit d'une attaque classique par déni de service.
Enfin, le chercheur a confirmé la possibilité de forcer la mise à niveau ou de réinstaller le client Zoom si un serveur Web est en cours d'exécution sur l'ordinateur. La réaction du vendeur était initialement loin d’être idéale. Les développeurs de Zoom ont proposé plusieurs options de «patchs» dans la logique du serveur web pour exclure la possibilité de connecter des utilisateurs sans demande. Tous se sont facilement déplacés ou ont un peu compliqué la vie d'un attaquant potentiel. La solution finale était d'ajouter un autre paramètre transmis au serveur local. Comme l'a découvert le chercheur, cela n'a pas non plus résolu le problème. La seule chose qui a été réparée avec précision était la vulnérabilité qui a permis une attaque DoS. Et sur la proposition de Jonathan de supprimer l'inclusion d'une webcam à la demande de l'organisateur de la conférence, la réponse a été complètement donnée qu'il s'agit d'une fonctionnalité, "c'est plus pratique pour les clients".
La première fois qu'un chercheur a tenté de contacter les développeurs de Zoom le 8 mars. Le 8 juillet, le délai de trois mois généralement accepté pour corriger la vulnérabilité a expiré et Jonathan a publié un article sur ce qu'il considérait comme un problème non résolu. Ce n'est qu'après la publication de l'article que Zoom a pris des mesures plus radicales: le 9 juillet,
un correctif a été
publié qui supprime complètement le serveur Web des ordinateurs exécutant macOS.
Chers éditeurs, communiquez régulièrement par vidéoconférence et pouvez dire par expérience personnelle: tout le monde le fait. Pas dans le sens où tout le monde installe un serveur Web local avec le client, puis oublie de le supprimer. Tous ou presque tous les services de conférence nécessitent plus de privilèges sur le système qu'une page de navigateur peut fournir. Par conséquent, des applications locales, des extensions de navigateur et d'autres outils sont utilisés, afin que le microphone et la caméra fonctionnent pendant le processus de communication, vous pouvez partager des fichiers et l'image de votre bureau. Franchement, la «vulnérabilité» (ou plutôt, une erreur délibérée dans la logique) de Zoom n'est pas la pire chose qui soit arrivée avec de tels services.
En 2017, un problème a été
découvert dans l'extension de navigateur d'un autre service de conférence - Cisco Webex. Dans ce cas, la vulnérabilité a permis l'exécution de code arbitraire sur le système. En 2016, le gestionnaire de mots de passe Trend Micro a également détecté un problème sur le serveur Web local, ce qui a également ouvert la possibilité d'une exécution de code arbitraire. À la fin de l'année dernière, nous avons
écrit un trou dans l'utilitaire clavier et souris Logitech: même là, nous avons utilisé un serveur Web local, dont l'accès était possible de n'importe où.
Conclusion: c'est une pratique assez courante, bien que d'un point de vue de la sécurité ce ne soit clairement pas le meilleur - il y a trop de trous potentiels avec un tel serveur web. Surtout s'il est créé par défaut pour interagir avec des ressources externes (par exemple, un site qui initie une conférence Web). Surtout s'il ne peut pas être supprimé. La possibilité de restaurer rapidement le client Zoom après la désinstallation a été explicitement faite soit pour la commodité des utilisateurs, soit pour la commodité du développeur. Cependant, après la publication de l'étude, cela a posé des problèmes supplémentaires. D'accord, les utilisateurs actifs de Zoom ont reçu une mise à jour et le problème a été résolu. Et que faire de ceux qui ont utilisé le client Zoom, puis qui se sont arrêtés, mais le serveur Web local fonctionne toujours pour eux? Il s'est avéré qu'Apple a discrètement publié une mise à jour qui supprime le serveur Web même dans ce cas.
Il faut rendre hommage au développeur du service Zoom: après pour ainsi dire une réaction publique négative, ils ont résolu le problème et
partagent désormais régulièrement
les mises à
jour avec les utilisateurs. Ce n'est clairement pas une réussite: ici, le développeur a également poliment tenté d'ignorer les véritables propositions du chercheur, et le chercheur a qualifié ce qu'il n'est pas tout à fait de «tyran». Mais au final, tout s'est bien terminé.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.