Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Banalna podatność w Zoomie umożliwiała dostanie się do prywatnych spotkań
Domyślne hasła do zooma były sześciocyfrowe. Łatwo więc można próbować kolejne liczby aby dostać się do konkretnego spotkania? No ale przecież po kilku nieudanych próbach, dalsze dołączenie będzie zablokowane… nie, nie było :)
Zoom meetings are (were) default protected by a 6 digit numeric password, meaning 1 million maximum passwords. I discovered a vulnerability in the Zoom web client that allows checking if a password is correct for a meeting, due to broken CSRF and no rate limiting. This enables an attacker to attempt all 1 million passwords in a matter of minutes and gain access to other.
W mniejszym skrócie, jeśli tworzyliśmy spotkanie, to Zoom generował tego typu link zapewniający dostęp do spotkania:
https://zoom.us/j/618086352?pwd=SE5OWjE6UDhwaDVJR3FJRzUyZUI3QT09
pwd wygląda skomplikowanie? Ale tak naprawdę jest to pewna postać hasha losowego hasła sześciocyfrowego. Jednak po podaniu nieprawidłowego hasła w parametrze URL do danego spotkania jesteśmy przekierowywani na stronę gdzie hasło już można podać w formie „normalnej”. Co dalej? Dalej można je podawać aż zgadniemy to dobre:
The important thing to note about the above process is that there is no rate limit on repeated password attempts (each comprising of 2 HTTP requests – one to submit the password, and follow up request to check if it was accepted by the server).
W ramach prostych testów hasło udało się odzyskiwać w niecałe pół godziny, a badacz wskazał że można to jeszcze nieco zoptymalizować. Bug został zgłoszony na początku kwietnia, później załatany, szczegóły zostały upublicznione 29. lipca.
–Michał Sajdak