A Zoom recomendou aos usuários de Windows, macOS, iOS e Android que atualizem seu software cliente para a versão 5.10.0 para consertar um defeito de baixa visibilidade.
O Ivan Fratric, pesquisador de segurança do Google Project Zero, descobriu em um relatório que alguém poderia invadir a máquina de alguém que estivesse em uma conversa do Zoom. O erro, que foi catalogado como CVE-2022-22787, foi avaliado com uma pontuação de gravidade CVSS de 5,9.
Ivan explicou que não é necessário que o usuário interaja para que um ataque seja bem-sucedido. O único requerimento que o atacante deve ter é a capacidade de enviar mensagens para o alvo por meio do bate-papo do Zoom que usa o protocolo XMPP.
Assim, os ataques que não necessitam de qualquer interação dos usuários são particularmente fortes, sendo que mesmo os usuários mais experientes em tecnologia podem ser vítimas deles.
O Protocolo de Presença de Mensagens Extensíveis, também conhecido como XMPP, é usado para enviar dados XML, conhecidos como estrofes, através de uma conexão de fluxo. Esta tecnologia é capaz de trocar mensagens e informações de presença em tempo real. O Zoom se utiliza deste protocolo para a sua funcionalidade de bate-papo.
Num aviso de segurança publicado pela Zoom, o CVE-2022-22786 (CVSS score 7.5) afeta usuários do Windows, enquanto os outros CVE-2022-22784, CVE-2022-22785 e CVE-2022-22787 atingem versões do cliente antecedentes a 5.10.0 em execução nos sistemas Android, iOS, Linux, macOS e Windows.
Realizar trabalhos manuais de reparação.
Ivan descreveu o problema de segurança inicial como “contrabando de estrofe XMPP”. Ele explica que isso ocorre devido à inconsistência na análise de XML entre o cliente Zoom e o software de servidor, o que permite o envio de estrofes XMPP arbitrárias para a máquina vítima.
Um invasor que mande uma requisição de controle particularmente elaborada pode compelir o usuário da vítima a se ligar a um servidor maligno, o que resulta em uma série de ataques de falsificação de mensagens para transmitir pedidos de controle.
Ivan notou que “a maior ameaça” relacionada à fraude de estrofe XMPP é um ataque à “função ClusterSwitch no programa Zoom, que tem um “site na web” controlado por invasores como referência”.
Ajude a divulgar este artigo.
- Falhas de segurança são brechas que podem ser usadas por invasores para invadir o sistema.