Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Zoom. 0-day umożliwiający wykonanie dowolnego polecenia na komputerze ofiary bez żadnej interakcji jej strony. Badacze otrzymali ~ 769858 pln

07 kwietnia 2021, 21:57 | W biegu | 1 komentarz

Wydarzenie “Pwn2own” organizowane przez “Zero Day Initiative” trwa w najlepsze, a badacze pokazują coraz ciekawsze znaleziska. Niedawno Microsoft Teams, teraz na celowniku znalazł się Zoom – popularne oprogramowanie do wideokonferencji. Badacze bezpieczeństwa Daan Keuper oraz Thijs Alkemade wykorzystali kombinację 3 błędów do stworzenia 1 “solidnego” exploita. Dodatkowo, exploit nie wymaga interakcji ze strony ofiary. Całość to wykonanie dowolnego kodu na komputerze ofiary (prawdopodobnie poprzez przesłanie jej odpowiednio spreparowanej wiadomości).

Daan Keuper and Thijs Alkemade from Computest used a three bug chain to exploit Zoom messenger and get code execution on the target system – all without the target clicking anything.

Dobra wiadomość jest taka, że podatność została odnaleziona przez tych “dobrych” hakerów, a badacze zostali odpowiednio wynagrodzeni za swoje starania (około 769858 pln).

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Widzę, iż wpadki dla zoom i teams szypią się jak z rękawa. A co z innymi systemami telekonferencji? np. Google Meets czy selfhosted/org jitsi?

    Odpowiedz

Odpowiedz