Une vulnérabilité du service de visioconférence de Zoom aurait pu être utilisée abusivement pour énumérer tous les utilisateurs Zoom enregistrés au sein d’une organisation, rapporte Cisco Talos.

Zoom a attiré beaucoup d’attention au cours des dernières semaines, d’autant plus que de nombreuses organisations ont demandé à leurs employés de travailler à domicile pendant la pandémie actuelle de COVID-19 et, pour beaucoup, Zoom est devenu la principale option de communication interne.

Les chercheurs en sécurité de Talos ont découvert qu’il était possible pour un acteur malveillant d’obtenir une liste complète des utilisateurs de Zoom au sein d’une organisation spécifique. Le problème, disent-ils, résidait côté serveur et a déjà été résolu.

La vulnérabilité, selon les chercheurs, a affecté une fonction que la solution de visioconférence offre aux utilisateurs pour leur permettre de trouver des contacts au sein de l’organisation.

La discussion de Zoom est basée sur la norme XMPP, ce qui signifie que le client envoie une demande XMPP de « requête de groupe » spécifiant un nom de groupe, qui dans ce cas est en fait un domaine de messagerie d’enregistrement.

Étant donné que le serveur n’a pas validé la demande pour garantir que l’utilisateur qui l’a effectuée appartenait à un domaine interrogé, les utilisateurs arbitraires pouvaient demander des listes de contacts de domaines d’enregistrement arbitraires.

Pour exploiter le problème, un attaquant devrait s’authentifier correctement auprès de Zoom avec un compte d’utilisateur valide, puis envoyer un message XMPP spécialement conçu pour recevoir une liste d’utilisateurs associés au domaine ciblé.

La réponse du serveur Zoom a fourni à l’attaquant un répertoire d’utilisateurs enregistrés sous ce domaine.

«Cela inclut des détails tels que le nom d’utilisateur XMPP généré automatiquement ainsi que le prénom et le nom de l’utilisateur. Ces informations, combinées à d’autres requêtes XMPP, pourraient être utilisées pour divulguer d’autres informations de contact, notamment l’adresse e-mail, le numéro de téléphone et toute autre information présente sur leur vCard, »révèle Cisco Talos.

La vulnérabilité, selon les chercheurs, aurait pu être exploitée dans une attaque de hameçonnage contre des individus connus pour obtenir les adresses e-mail de tous les utilisateurs de Zoom au sein d’une organisation.

Une telle attaque expose principalement les utilisateurs qui ont récemment dû installer de nouveaux logiciels pour le travail à distance, en particulier si l’attaquant adapte les e-mails de conception sociale pour fournir soi-disant des instructions sur la façon d’installer un «client Zoom» de cheval de Troie nouveau ou mis à jour.

«Avec la téléconférence vidéo qui devient soudainement une fonction critique pour l’entreprise, les attaquants peuvent s’attendre à rechercher des faiblesses qui peuvent être exploitées afin de poursuivre leurs objectifs malveillants. Les organisations doivent être conscientes des risques d’attaques d’énumération des utilisateurs comme celles-ci et prendre les mesures nécessaires pour atténuer ces attaques », conclut Talos.

Le zoom semble avoir déjà corrigé la faille. Étant donné que la vulnérabilité résidait côté serveur, les utilisateurs et les administrateurs n’ont pas besoin de prendre des mesures supplémentaires pour rester protégés.

Connexes: la base de données Zoom Credentials est disponible sur le Dark Web

Connexes: clés utilisées pour crypter les réunions Zoom envoyées en Chine: chercheurs

Connexes: Zoom Travailler sur les améliorations de la sécurité dans un plus grand nombre d’interdictions

Ionut Arghire est un correspondant international pour SecurityWeek.

Chroniques précédentes d’Ionut Arghire:
Mots clés:



Voir la source de cette publication