Durante la competizione Pwn2Own 2021 sono state svelate tre vulnerabilità zero-day in Zoom. Daan Keuper e Thijs Alkemade di Computest hanno combinato i tre bug per attuare un attacco RCE (Remote Code Execution) che ha permesso di avviare l’applicazione Calcolatrice su PC Windows. I due hacker “white hat” hanno vinto il premio di 200.000 dollari. Curiosità: Zoom è uno degli sponsor ufficiali.
Zoom pwned, ma la patch non c’è ancora
Pwn2Own è una competizione, organizzata da Zero Day Initiative (ZDI), durante la quale gruppi di hacker si sfidano per cercare vulnerabilità nei software più diffusi. Vista la diffusione dello smart working, quest’anno è stata aggiunta la categoria Enterprise Communications. I “target” scelti sono Microsoft Teams e appunto Zoom.
Ovviamente non sono stati divulgati i dettagli delle vulnerabilità, ma è noto che i due hacker hanno sfruttato una “catena di tre bug” scoperti in Zoom per eseguire codice remoto su PC Windows (ma l’exploit funziona anche su macOS). Come dimostrazione è stata avviata l’applicazione Calcolatrice. ZDI ha condiviso una GIF su Twitter.
We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
— Zero Day Initiative (@thezdi) April 7, 2021
Stranamente Zoom non ha ancora distribuito un aggiornamento per la versione desktop (in base alle regole della competizione ci sono 90 giorni di tempo, alla scadenza dei quali gli hacker possono pubblicare i dettagli delle vulnerabilità). Chi vuole usare il servizio con maggiore sicurezza dovrebbe scegliere la versione accessibile da browser.
La software house ha comunicato di essere al lavoro per rilasciare un fix al più presto. Il problema è limitato a Zoom Chat. In ogni caso è meglio evitare richieste di accesso provenienti da contatti sconosciuti.