24.04.2020 | Уязвимость в Zoom позволяла идентифицировать сотрудников компаний |
Специалисты из компании Cisco Talos обнаружили уязвимость в сервисе для видеоконференций Zoom. Ее эксплуатация позволяет злоумышленнику идентифицировать всех зарегистрированных пользователей Zoom внутри определенной организации. Как сообщили исследователи, уязвимость затрагивает функцию в решении для видеоконференций, позволяющую находить контакты внутри организации. Поскольку чат Zoom основан на стандарте XMPP, клиент может отправить XMPP-запрос с указанием имени группы, которое в данном случае является доменом электронной почты для регистрации. Уязвимость возникает из-за отсутствия проверки связи пользователя с запрашиваемым доменом. Таким образом злоумышленники могут запрашивать списки контактов произвольных доменов регистрации. Для эксплуатации уязвимости злоумышленнику необходимо авторизоваться в учетной записи Zoom и затем отправить специально сформированное XMPP-сообщение, чтобы получить список пользователей, связанных с целевым доменом. В ответ на запрос сервер Zoom предоставит атакующему каталог пользователей, связанных с этим доменом. «Это включает в себя такие подробности, как автоматически сгенерированные логины, а также имена и фамилии пользователей. Данная информация в сочетании с другими XMPP-запросами может быть использована для раскрытия дополнительной контактной информации, включая адрес электронной почты пользователя, номер телефона и любую другую информацию, присутствующей в файле vCard», — отметили эксперты. По словам специалистов, компания Zoom уже устранила данную проблему. |
Проверить безопасность сайта