Layanan konferensi video populer Zoom telah mengatasi sebanyak empat kerentanan keamanan, yang dapat dieksploitasi untuk membahayakan pengguna lain melalui obrolan dengan mengirimkan pesan Extensible Messaging and Presence Protocol (XMPP) yang dibuat khusus dan mengeksekusi kode berbahaya.
Dilacak dari CVE-2022-22784 hingga CVE-2022-22787, masalah berkisar antara 5,9 dan 8,1 tingkat keparahannya. Ivan Fratric dari Google Project Zero telah dikreditkan dengan menemukan dan melaporkan keempat kekurangan pada Februari 2022.
Daftar bug adalah sebagai berikut –
- CVE-2022-22784 (Skor CVSS: 8.1) – Parsing XML yang tidak tepat di Zoom Client untuk Rapat
- CVE-2022-22785 (Skor CVSS: 5.9) – Cookie sesi yang dibatasi secara tidak benar di Klien Zoom untuk Rapat
- CVE-2022-22786 (Skor CVSS: 7,5) – Perbarui downgrade paket di Zoom Client for Meetings untuk Windows
- CVE-2022-22787 (Skor CVSS: 5.9) – Validasi hostname tidak mencukupi selama pergantian server di Zoom Client for Meetings
Dengan fungsionalitas obrolan Zoom yang dibangun di atas standar XMPP, eksploitasi masalah yang berhasil dapat memungkinkan penyerang memaksa klien yang rentan untuk menyamar sebagai pengguna Zoom, terhubung ke server jahat, dan bahkan mengunduh pembaruan jahat, yang menghasilkan eksekusi kode arbitrer. berasal dari serangan downgrade.
Fratric menjuluki urutan serangan zero-click sebagai kasus “XMPP Stanza Smuggling,” menambahkan “satu pengguna mungkin dapat memalsukan pesan seolah-olah berasal dari pengguna lain” dan bahwa “penyerang dapat mengirim pesan kontrol yang akan diterima seolah-olah datang dari server.”
Pada intinya, masalah memanfaatkan inkonsistensi parsing antara parser XML di klien Zoom dan server untuk “menyelundupkan” stanza XMPP sewenang-wenang — unit dasar komunikasi di XMPP — ke klien korban.
Secara khusus, rantai eksploit dapat dipersenjatai untuk membajak mekanisme pembaruan perangkat lunak dan membuat klien terhubung ke server man-in-the-middle yang menyajikan versi lama klien Zoom yang kurang aman.
Sementara serangan downgrade memilih versi aplikasi Windows, CVE-2022-22784, CVE-2022-22785, dan CVE-2022-22787 berdampak pada Android, iOS, Linux, macOS, dan Windows.
Tambalan tiba kurang dari sebulan setelah Zoom mengatasi dua kelemahan dengan tingkat keparahan tinggi (CVE-2022-22782 dan CVE-2022-22783) yang dapat menyebabkan eskalasi hak istimewa lokal dan pemaparan konten memori dalam layanan Rapat di tempat. Juga diperbaiki adalah contoh lain dari serangan downgrade (CVE-2022-22781) di aplikasi macOS Zoom.
Pengguna aplikasi disarankan untuk memperbarui ke versi terbaru (5.10.0) untuk mengurangi potensi ancaman yang timbul dari eksploitasi aktif kelemahan tersebut.