Уразливість в Zoom дозволяла ідентифікувати співробітників компаній

Уразливість в Zoom дозволяла ідентифікувати співробітників компаній

   Фахівці з компанії Cisco Talos виявили уразливість в сервісі для відеоконференцій Zoom. Її експлуатація дозволяє зловмисникові ідентифікувати всіх зареєстрованих користувачів Zoom всередині певної організації.

   Як повідомили дослідники, вразливість зачіпає функцію у рішенні для відеоконференцій, що дозволяє знаходити контакти всередині організації. Оскільки чат Zoom заснований на стандарті XMPP, клієнт може відправити XMPP-запит із зазначенням імені групи, яке в даному випадку є доменом електронної пошти для реєстрації.

   Уразливість виникає через відсутність перевірки зв'язку користувача з запитуваним доменом. Таким чином зловмисники можуть запитувати списки контактів довільних доменів реєстрації.

   Для експлуатації уразливості зловмисникові необхідно авторизуватися в облікового запису Zoom і потім відправити спеціально сформоване XMPP-повідомлення, щоб отримати список користувачів, пов'язаних з цільовим доменом. У відповідь на запит сервер Zoom надасть атакуючому каталог користувачів, пов'язаних з цим доменом.

  «Це включає в себе такі подробиці, як автоматично згенеровні логіни, а також імена і прізвища користувачів. Дана інформація в поєднанні з іншими XMPP-запитами може бути використана для розкриття додаткової контактної інформації, включаючи адресу електронної пошти користувача, номер телефону і будь-яку іншу інформацію, яка присутня в файлі vCard », — відзначили експерти.

За словами фахівців, компанія Zoom вже усунула цю проблему.

19:25
RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|