Zoom. 0-day umożliwiający wykonanie dowolnego polecenia na komputerze ofiary bez żadnej interakcji jej strony. Badacze otrzymali ~ 769858 pln

Wydarzenie “Pwn2own” organizowane przez “Zero Day Initiative” trwa w najlepsze, a badacze pokazują coraz ciekawsze znaleziska. Niedawno Microsoft Teams, teraz na celowniku znalazł się Zoom – popularne oprogramowanie do wideokonferencji. Badacze bezpieczeństwa Daan Keuper oraz Thijs Alkemade wykorzystali kombinację 3 błędów do stworzenia 1 “solidnego” exploita. Dodatkowo, exploit nie wymaga interakcji ze strony ofiary. Całość to wykonanie dowolnego kodu na komputerze ofiary (prawdopodobnie poprzez przesłanie jej odpowiednio spreparowanej wiadomości).

Daan Keuper and Thijs Alkemade from Computest used a three bug chain to exploit Zoom messenger and get code execution on the target system – all without the target clicking anything.

Dobra wiadomość jest taka, że podatność została odnaleziona przez tych “dobrych” hakerów, a badacze zostali odpowiednio wynagrodzeni za swoje starania (około 769858 pln).

~ Jakub Bielaszewski