Zoom Bug Allowed Snoopers Crack Private Meeting Passwords in Minutes
Zoom Bug Allowed Snoopers Crack Private Meeting Passwords in Minutes
Aplikasi konferensi video populer Zoom baru-baru ini memperbaiki kelemahan keamanan baru yang bisa memungkinkan penyerang potensial untuk memecahkan kode sandi numerik yang digunakan untuk mengamankan pertemuan pribadi di platform dan mengintip peserta.
Rapat zoom secara default dilindungi oleh enam digit kata sandi numerik, tetapi menurut Tom Anthony, VP Product di SearchPilot yang mengidentifikasi masalah ini, kurangnya pembatasan tingkat memungkinkan "seorang penyerang mencoba semua 1 juta kata sandi dalam hitungan menit dan mendapatkan akses ke pertemuan Zoom pribadi (dilindungi kata sandi) orang lain. "
Perlu dicatat bahwa Zoom mulai memerlukan kode sandi untuk semua pertemuan pada bulan April sebagai tindakan pencegahan untuk memerangi serangan pemboman Zoom, yang mengacu pada tindakan mengganggu dan membajak rapat Zoom tanpa diundang untuk berbagi konten yang cabul dan rasis.
Anthony melaporkan masalah keamanan kepada perusahaan pada 1 April 2020, bersama dengan skrip proof-of-concept berbasis Python, seminggu setelah Zoom memperbaiki kesalahan pada 9 April.
Fakta bahwa rapat, secara default, diamankan dengan kode enam digit berarti hanya ada maksimal satu juta kata sandi.
Tetapi dengan tidak adanya pemeriksaan untuk upaya kata sandi salah yang berulang, penyerang dapat memanfaatkan klien web Zoom (https://zoom.us/j/MEETING_ID) untuk terus mengirim permintaan HTTP untuk mencoba semua satu juta kombinasi.
"Dengan peningkatan threading, dan distribusi di 4-5 server cloud, Anda dapat memeriksa seluruh ruang kata sandi dalam beberapa menit," kata Anthony.
Serangan itu bekerja dengan pertemuan berulang, menyiratkan bahwa aktor jahat bisa memiliki akses ke pertemuan yang sedang berlangsung setelah kode sandi dibongkar.
Peneliti juga menemukan bahwa prosedur yang sama dapat diulang bahkan dengan pertemuan terjadwal, yang memiliki opsi untuk mengganti kode sandi default dengan varian alfanumerik yang lebih panjang, dan menjalankannya terhadap daftar 10 juta kata sandi teratas untuk secara kasar memaksa login.
Secara terpisah, masalah terungkap selama proses masuk menggunakan klien web, yang menggunakan pengalihan sementara untuk mencari persetujuan pelanggan terhadap persyaratan layanan dan kebijakan privasi.
"Ada tajuk HTTP CSRF yang dikirim selama langkah ini, tetapi jika Anda mengabaikannya maka permintaan itu tampaknya tetap berfungsi dengan baik," kata Anthony. "Kegagalan pada token CSRF membuatnya lebih mudah untuk disalahgunakan daripada sebaliknya, tetapi memperbaiki itu tidak akan memberikan banyak perlindungan terhadap serangan ini."
Setelah temuan, Zoom menjadikan klien web offline untuk mengurangi masalah pada 2 April sebelum mengeluarkan perbaikan seminggu kemudian.
Platform konferensi video, yang menarik perhatian untuk sejumlah masalah keamanan karena penggunaannya melonjak selama pandemi coronavirus, telah dengan cepat menambal kelemahan ketika mereka terungkap, bahkan akan mengumumkan pembekuan 90 hari pada merilis fitur baru untuk "Lebih baik mengidentifikasi, mengatasi, dan memperbaiki masalah secara proaktif."
Baru awal bulan ini, perusahaan tersebut membahas kerentanan nol hari di aplikasi Windows-nya yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer pada komputer korban yang menjalankan Windows 7 atau lebih lama.
Ini juga memperbaiki kelemahan terpisah yang bisa memungkinkan penyerang meniru suatu organisasi dan menipu karyawan atau mitra bisnisnya untuk mengungkapkan informasi pribadi atau rahasia lainnya melalui serangan rekayasa sosial.
B.English
Zoom Bug Allowed Snoopers Crack Private Meeting Passwords in Minutes
Popular video conferencing app Zoom recently fixed a new security flaw that could have allowed potential attackers to crack the numeric passcode used to secure private meetings on the platform and snoop on participants.
Zoom meetings are by default protected by a six-digit numeric password, but according to Tom Anthony, VP Product at SearchPilot who identified the issue, the lack of rate limiting enabled "an attacker to attempt all 1 million passwords in a matter of minutes and gain access to other people's private (password protected) Zoom meetings."
It's worth noting that Zoom began requiring a passcode for all meetings back in April as a preventive measure to combat Zoom-bombing attacks, which refers to the act of disrupting and hijacking Zoom meetings uninvited to share obscene and racist content.
Anthony reported the security issue to the company on April 1, 2020, along with a Python-based proof-of-concept script, a week after Zoom patched the flaw on April 9.
The fact that meetings were, by default, secured by a six-digit code meant there could be only a maximum of one million passwords.
But in the absence of no checks for repeated incorrect password attempts, an attacker can leverage Zoom's web client (https://zoom.us/j/MEETING_ID) to continuously send HTTP requests to try all the one million combinations.
"With improved threading, and distributing across 4-5 cloud servers you could check the entire password space within a few minutes," Anthony said.
The attack worked with recurring meetings, implying that bad actors could have had access to the ongoing meetings once the passcode was cracked.
The researcher also found that the same procedure could be repeated even with scheduled meetings, which have the option to override the default passcode with a longer alphanumeric variant, and run it against a list of top 10 million passwords to brute-force a login.
Separately, an issue was uncovered during the sign-in process using the web client, which employed a temporary redirect to seek customers' consent to its terms of service and privacy policy.
"There was a CSRF HTTP header sent during this step, but if you omitted it then the request still seemed to just work fine anyway," Anthony said. "The failure on the CSRF token made it even easier to abuse than it would be otherwise, but fixing that wouldn't provide much protection against this attack."
Following the findings, Zoom took the web client offline to mitigate the issues on April 2 before issuing a fix a week later.
The video conferencing platform, which drew scrutiny for a number of security issues as its usage soared during the coronavirus pandemic, has quickly patched the flaws as they were uncovered, even going to the extent of announcing a 90-day freeze on releasing new features to "better identify, address, and fix issues proactively."
Just earlier this month, the company addressed a zero-day vulnerability in its Windows app that could allow an attacker to execute arbitrary code on a victim's computer running Windows 7 or older.
It also fixed a separate flaw that could have allowed attackers to mimic an organization and trick its employees or business partners into revealing personal or other confidential information via social engineering attacks.
Source : https://thehackernews.com/2020/07/zoom-meeting-password-hacking.html
« Terbaru
Postingan Lebih Baru
Terlama »
Postingan Lama