攻击者可以伪装成公司员工,邀请客户或合作伙伴参加会议,然后使用社会策划的对话来提取敏感信息。
目前Zoom已经解决了自定义URL功能中以前未公开的漏洞,该漏洞可能为黑客提供了窃取凭据或敏感信息的理想的社交工程方式。
Zoom和Check Point于周四披露,该安全漏洞存在于Zoom的“自定义URL”功能中,该功能允许公司设置自己的Zoom会议域,即“yourcompany.zoom.us”。公司可以向页面添加定制的徽标和品牌,最终用户可以访问该页面并单击该页面中的会议链接到Zoom呼叫。除了设置它的便利驱动程序外,如果用户想要打开视频服务的单点登录,配置时还需要该特性。
为了发动攻击,网络犯罪分子会伪装成一个公司的合法雇员,然后表面上从一个组织的自定义URL向目标受害者(客户、合作伙伴、供应商等)发送会议邀请。但是,攻击者实际上将使用邀请URL,该URL包括他们选择的注册子域,而不是被欺骗公司的真实自定义URL。
换句话说,如果原始链接是https://zoom.us/j/###########,则攻击者可以将其更改为https://
发起攻击的第二种方法是针对专用的Zoom Web界面,Check Point表示:“有些组织有自己的会议缩放Web界面。黑客可能会针对此类界面,并试图重定向用户以将会议ID输入到恶意的自定义URL中,而不是实际或真正的Zoom Web界面中。与直接链接攻击一样,如果没有经过仔细的网络安全培训,此类攻击的受害者可能无法识别恶意URL,并成为该攻击的受害者。
最终,攻击者一旦进入会议链接,攻击者可以继续以公司员工的身份,通过询问某些问题或要求发送材料,继续提取凭证和敏感信息,并执行其他欺诈行为。
Check Point并未发布该漏洞的技术细节,但确实指出“有几种方法可以进入包含子域的会议,包括使用包含会议ID的直接子域链接,或者使用组织定制的子域web UI。
Zoom最终修复了这个问题,从而关闭了漏洞利用的途径。Check Point的研究人员告诉Threatpost,在修复之前他们并不知道在野外的攻击。
现在,Zoom已经解决了Check Point报告的问题,并采取了其他保护措施来保护其用户。 Zoom的一名发言人告诉Threatpost,并补充说该公司并不认为该漏洞是零日漏洞。这位人士继续说道:“Zoom鼓励用户在参加任何计划参加的会议之前,都要仔细检查所有细节,并且只参加他们信任的用户参加的会议。
Zoom在分析中指出,视频会议服务在大流行之前已经很流行,从政府和商务会议到大学和学校课程,再到家庭聚会,这意味着Zoom的使用量已从2019年12月的1000万每天的会议参与者猛增到2020年4月的3亿多。
随着Zoom变得如此流行,Zoom出现的漏洞越来越多。上周,流行的视频服务在Windows的Zoom Client中修复了一个零日漏洞,该漏洞可能允许远程执行代码。研究人员说,它影响了旧版Windows的用户,但利用起来却微不足道。
并且在4月,它解决了Zoom的macOS客户端版本中发现的两个零时差漏洞,这些漏洞可能赋予本地无特权的攻击者root特权,并允许他们访问受害者的麦克风和摄像头。同样在4月,在地下论坛上发现了几个新数据库,共享了大量回收的Zoom凭据库。
1月份,Zoom发布了一系列安全修复程序,后来发现该公司的平台使用了弱认证,这使得攻击者有可能参加活跃的会议。问题源于Zoom的会议链接配置,默认情况下不需要“会议密码”。
在3月和4月,有黑客劫持在线会议,以传播仇恨言论,例如种族主义信息,性骚扰和色情图片威胁,这驱使会议参与者使他们取消参加的会议。
与隐私有关的其他麻烦也困扰着Zoom,年初Zoom取消了一项功能,该功能因未公开数据挖掘,而导致用户姓名和电子邮件地址遭到攻击,该功能用于将用户名和电子邮件地址与他们的LinkedIn个人资料进行匹配。
Zoom使用的爆炸性增长与新域名注册(包括“Zoom”一词)的出现相匹配,这表明网络犯罪分子将Zoom域作为诱饵来诱骗受害者。该公司的安全人员还检测到了恶意文件,它们冒充了Zoom的安装程序。
Zoom明白用户对软件的安全性和隐私度存在疑虑,他们已经成立安全委员会和推出修补程序提升信息安全性能。公司在4月推出90日计划去强化软件安全,从而修补最近几个月出现的漏洞。
Zoom也宣布会在视频通信加入端到端加密技术,最初会开放给Zoom付费用户使用,而免费用户未来也都能得到上述技术的保护。
