• Votre panier est vide.

  • LOGIN

Un bug de zoom a permis de cracker des mots de passe de réunion privée en quelques minutes


Certains articles de veille peuvent faire l'objet de traduction automatique.


L’application de visioconférence populaire Zoom a récemment corrigé une nouvelle faille de sécurité qui aurait pu permettre à des attaquants potentiels de déchiffrer le code numérique utilisé pour sécuriser les réunions privées sur la plate-forme et espionner les participants.

Les réunions Zoom sont par défaut protégées par un mot de passe numérique à six chiffres, mais selon Tom Anthony, VP Produit chez SearchPilot qui identifié le problème, l’absence de limitation de débit a permis à «un attaquant de tenter tous les 1 million de mots de passe en quelques minutes et d’accéder aux réunions Zoom privées (protégées par mot de passe) d’autres personnes».

Il convient de noter que Zoom a commencé exigeant un mot de passe pour toutes les réunions de retour en avril comme mesure préventive pour lutter contre les attentats à la bombe Zoom, qui se réfère à l’acte de perturber et de détourner des réunions Zoom sans être invité à partager du contenu obscène et raciste.

cybersécurité

Anthony a signalé le problème de sécurité à l’entreprise le 1er avril 2020, ainsi qu’un script de validation de principe basé sur Python, une semaine après quoi Zoom a corrigé la faille le 9 avril.

Le fait que les réunions soient, par défaut, sécurisées par un code à six chiffres signifie qu’il ne peut y avoir qu’un million de mots de passe au maximum.

Mais en l’absence de vérification des tentatives répétées de mot de passe incorrect, un attaquant peut utiliser le client Web de Zoom (https://zoom.us/j/MEETING_ID) pour envoyer en continu des requêtes HTTP pour essayer toutes les combinaisons d’un million.

«Grâce à l’amélioration des threads et à la distribution sur 4 à 5 serveurs cloud, vous pouvez vérifier l’intégralité de l’espace des mots de passe en quelques minutes», a déclaré Anthony.

L’attaque a fonctionné avec des réunions récurrentes, ce qui implique que les mauvais acteurs auraient pu avoir accès aux réunions en cours une fois que le code d’accès a été déchiffré.

Le chercheur a également constaté que la même procédure pouvait être répétée même avec des réunions planifiées, qui ont la possibilité de remplacer le code par défaut par une variante alphanumérique plus longue et de l’exécuter sur une liste des 10 millions de mots de passe les plus importants pour forcer la connexion.

Par ailleurs, un problème a été découvert lors du processus de connexion à l’aide du client Web, qui a utilisé une redirection temporaire pour demander le consentement des clients à ses conditions de service et à sa politique de confidentialité.

« Un en-tête HTTP CSRF a été envoyé au cours de cette étape, mais si vous l’omettez, la requête semble toujours fonctionner correctement de toute façon », a déclaré Anthony. « L’échec du jeton CSRF a rendu les abus encore plus faciles qu’il ne le serait autrement, mais une correction ne fournirait pas beaucoup de protection contre cette attaque. »

Suite aux résultats, Zoom a mis le client Web hors ligne pour atténuer les problèmes le 2 avril avant de publier un correctif une semaine plus tard.

La plate-forme de visioconférence, qui a suscité un examen minutieux pour un certain nombre de problèmes de sécurité alors que son utilisation a explosé pendant la pandémie de coronavirus, a rapidement corrigé les failles au fur et à mesure qu’elles étaient découvertes, allant même jusqu’à annoncer un gel de 90 jours sur la publication de nouvelles fonctionnalités « mieux identifier, résoudre et résoudre les problèmes de manière proactive. »

Un peu plus tôt ce mois-ci, la société a corrigé une vulnérabilité zero-day dans son application Windows qui pourrait permettre à un attaquant d’exécuter du code arbitraire sur l’ordinateur d’une victime exécutant Windows 7 ou une version antérieure.

Il a également corrigé une faille distincte qui aurait pu permettre aux attaquants d’imiter une organisation et de tromper ses employés ou partenaires commerciaux en leur faisant révéler des informations personnelles ou d’autres informations confidentielles via des attaques d’ingénierie sociale.

Voir aussi :

septembre 9, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)