Lỗ hổng cho phép tin tặc nhận dạng tất cả người dùng Zoom trong một công ty

9/21/2020 11:05:00 AM

 Theo báo cáo của Cisco Talos, một lỗ hổng trong dịch vụ hội nghị truyền hình của Zoom có thể đã bị lợi dụng để công khai tất cả người dùng Zoom đã đăng ký trong một tổ chức.


 Zoom đã thu hút sự chú ý trong suốt mấy tuần qua. Khi nhiều tổ chức yêu cầu nhân viên làm việc tại nhà trong thời gian diễn ra đại dịch Covid-19, Zoom đã trở thành sự lựa chọn chính trong giao tiếp nội bộ của nhiều tổ chức.

Các nhà nghiên cứu bảo mật Cisco Talos đã phát hiện ra một tác nhân độc hại có thể lấy được danh sách đầy đủ những người dùng Zoom trong một tổ chức cụ thể. Vấn đề này nằm ở phía máy chủ và đã được xử lý.
 
20200504-pg10.jpg
 
Các nhà nghiên cứu cho biết, lỗ hổng ảnh hưởng tới một tính năng mà giải pháp hội nghị truyền hình cung cấp cho người dùng để họ có thể tìm kiếm các liên hệ trong tổ chức.
 
Hội thoại của Zoom dựa trên chuẩn giao thức truyền tải XMPP, nghĩa là khách hàng gửi một yêu cầu "truy vấn nhóm", XMPP yêu cầu chỉ định tên nhóm, trường hợp này thực ra là một tên miền email đã đăng ký.
 
Để khai thác lỗ hổng, kẻ tấn công cần xác thực Zoom đúng với tài khoản người dùng hợp lệ, sau đó gửi một tin nhắn XMPP lừa đảo đặc biệt để yêu cầu danh sách người dùng đã được liên kết với tên miền mục tiêu. Phản hồi từ máy chủ Zoom cung cấp cho kẻ tấn công một danh bạ người dùng đã đăng ký dưới miền đó.
 
Cisco Talos cho biết: "Điều này bao gồm chi tiết như tên người dùng XMPP được tạo tự động cùng với họ tên người dùng. Thông tin này kết hợp với những truy vấn XMPP khác có thể dẫn đến lộ lọt thông tin liên hệ bao bồm địa chỉ email người dùng, số điện thoại và bất cứ thông tin nào khác có trong vCard của họ".
 
Nhà nghiên cứu nói rằng: "Lỗ hổng có thể đã bị khai thác trong cuộc tấn công lừa đảo nhắm vào những cá nhân đã biết để lấy địa chỉ emaiil của tất cả người dùng Zoom trong một tổ chức".
 
Một cuộc tấn công như vậy chủ yếu để tiết lộ những người gần đây đã cài đặt phần mềm mới để làm việc từ xa, đặc biệt nếu tin tặc can thiệp sửa những email để đánh lừa người dùng nhằm cung cấp những hướng dẫn về cách một máy khách Zoom có thể dính phần mềm Trojan độc hại được cài đặt.
 
Cisco Talo kết luận: "Với việc hội nghị truyền hình đột nhiên trở nên cần thiết cho công việc, những kẻ tấn công có thể hi vọng tìm kiếm những điểm yếu để có thể khai thác nhiều hơn cho những mục tiêu không mấy tốt đẹp. Các tổ chức cần nhận thức đươc những rủi ro của những cuộc tấn công thu thập thông tin người dùng như vậy và thực hiện các bước cần thiết để giảm thiểu rủi ro".
 
Tuy nhiên, Zoom đã vá lỗ hổng. Do lỗ hổng nằm trên máy chủ nên người dùng và quản trị viên không cần thực hiện các bước bổ sung mà vẫn được bảo vệ.