Exécution de code à distance sur l’application de téléconférence Zoom

Gestion du document

Origine: bjCSIRT

Numéro: 2020/ALERTE/011

Date de l’alerte: 10/06/2020

TLP: White

 

Aperçu de la menace

Les vulnérabilités Zoom libellées CVE-2020-6109 et CVE-2020-6110 et toutes deux de niveau de gravité élevé, ont été décrites comme des problèmes de traversée de chemin (path traversal) qui pourraient conduire à l’exécution de code à distance.

CVE-2020-6110 affecte Zoom 4.6.10, 4.6.11 et probablement ses versions antérieures, et CVE-2020-6109 n’affecte que 4.6.10 et versions antérieures.

 

Description

Zoom est une application qui offre des services de téléconférence en combinant la vidéoconférence, les réunions en ligne, le chat et la collaboration mobile à l’aide d’applications closed-source.

Deux nouvelles vulnérabilités ont été récemment découvertes sur l’application de collaboration vidéo Zoom:

CVE-2020-6109 : L’exploitation de CVE-2020-6109 est liée à la façon dont Zoom traite les fichiers d’images GIF. Cette vulnérabilité permet à un attaquant d’envoyer un message spécialement conçu à un utilisateur ou à un groupe et cela entraînerait l’écriture d’un fichier dans n’importe quel répertoire dans lequel l’utilisateur actuel est autorisé à écrire des fichiers. Le fichier aurait une extension .gif mais son contenu pourrait être du code exécutable ou un script, ce qui pourrait aider l’attaquant dans l’exploitation de la vulnérabilité de traversée de chemin.

CVE 2020-6110 : Son exploitation implique également l’envoi d’un message spécialement conçu à un utilisateur ou à un groupe. Une exploitation réussie peut entraîner l’écriture d’un fichier ZIP auto-extractible dans certains dossiers, ce qui pourrait être utile pour exploitation. Un attaquant peut également exécuter le code, mais cela nécessite une certaine interaction de l’utilisateur. Dans un scénario d’attaque typique, l’attaquant envoie un fichier ZIP malveillant à la cible avec un nom et une extension qui ne risquent pas de soulever des soupçons (par exemple, intéressante_image.jpeg). L’utilisateur télécharge le fichier, mais il ne pourra pas l’ouvrir directement en raison du fait qu’il ne s’agit pas d’une image réelle et qu’il n’a pas d’extension d’archive pour qu’il puisse être ouvert par un outil d’archivage. L’attaquant envoie ensuite à la victime un extrait de code via Zoom avec le même ID de fichier et les mêmes détails dans la balise obj. Lorsque Zoom constate que le fichier a déjà été téléchargé, il décompresse le fichier précédemment téléchargé vers un emplacement choisi par l’attaquant : il peut s’agir de presque n’importe quel dossier sur la machine locale. L’attaquant a alors la possibilité d’utiliser ce procédé afin d’écraser des fichiers exécutés par le système, ce qui permettra de réaliser l’exécution de son propre code.

Les nouvelles versions de Zoom (5.0.5 à ce jour) remédient à ces vulnérabilités.

 

Risques

  • Exécution de code à distance ;

 

Systèmes affectés

  • Clients Zoom pour Windows 4.6.11, 4.6.10 et versions antérieures ;

 

Mesures à prendre

  • Mettre à jour les Zoom Windows client à partir du site officiel (version 5.0.5 à ce jour) ;

 

Lien Utiles

  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6109
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6110
  • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1055
  • https://vulmon.com/vulnerabilitydetails?qid=CVE-2020-6110
  • https://nvd.nist.gov/vuln/detail/CVE-2020-6110

 

Partagez sur vos réseaux.