Gestion du document
Origine: bjCSIRT
Numéro: 2020/ALERTE/010
Date de l’alerte: 04/04/2020
TLP: White
Aperçu de la menace
L’utilisation de Zoom et des services de téléconférence a amplifié ces dernières semaines ceci due à la pandémie créée par le COVID-19. En effet, les entreprises, les écoles, les gouvernements et les particuliers se sont tournées vers les solutions de téléconférences comme moyen de maintenir les activités tout en en travaillant à domicile.
Cependant, ce changement représente également une opportunité pour les attaquants. De multiples vulnérabilités ont été découvertes sur l’application de collaboration vidéo Zoom telles que le ZoomBombing, un Zéro Day qui permet de subtiliser les identifiants utilisateurs, des d’exécution du code à distance et l’absence de chiffrement de bout en bout.
Description
Zoom est une application qui offre des services de téléconférence en combinant la vidéoconférence, les réunions en ligne, le chat et la collaboration mobile à l’aide d’applications closed-source. Au vu des derrières actualités de récentes vulnérabilités ont vu le jour. Ci-dessous une description des plus connues :
ZoomBombing : Durant cette pandémie de COVID-19, un type d’abus en ligne s’est manifesté et s’est fait connaitre sous le nom de Zoombombing. Les attaquants profitent de réunions ouvertes ou non protégées et des paramètres par défaut afin prendre le contrôle du partage d’écran et diffuser du matériel explicite. Il a été conseillé aux utilisateurs d’ajuster leurs paramètres pour éviter le détournement des appels vidéo.
Vulnérabilité d’injection de code : La deuxième vulnérabilité permet d’insérer du code malveillant afin que l’application partage l’accès à la webcam et au microphone avec les attaquants. Grâce à ce mécanisme, ces derniers pourraient enregistrer des réunions Zoom, accéder au microphone ou à la caméra quand ils le souhaitent en faisant usage d’une bibliothèque malveillante, à l’insu des utilisateurs.
Vulnérabilité d’injection de chemin sur Zoom chat : Il existe une injection de chemin UNC (Universal Naming Convention) dans le client Zoom Windows, qui pourrait permettre aux attaquants de subtiliser les informations d’identification systèmes Windows des utilisateurs. Dans les messages de chat sur sa plateforme, Zoom convertit automatiquement les chemins UNC en liens cliquables. Un chemin UNC est un format Windows permettant de spécifier l’emplacement des ressources sur un réseau local (LAN) : ce qui peut être utilisé pour accéder aux ressources réseau. Une fois qu’une victime du chat clique sur le chemin UNC lié, Windows tentera de se connecter au lien à l’aide du protocole de partage de fichiers SMB. Par défaut, cela transmet le nom de connexion et le mot de passe de la victime. Le mot de passe bien qu’en hash NTLM peut facilement être récupéré et déchiffré par les attaquants
Vulnérabilité du Chiffrement : Les vidéoconférences Zoom utilisent une combinaison de connexions TCP utilisant des connexions TLS et UDP chiffrées avec AES à l’aide d’une clé négociée via une connexion TLS. TLS, la même technologie que les serveurs Web utilisent pour sécuriser les sites Web HTTPS. Il s’agit du chiffrement de transport, qui est différent du chiffrement de bout en bout car le service Zoom lui-même peut accéder au contenu vidéo et audio non crypté des réunions. En d’autres termes, tout le trafic des réunions en temps réel, y compris l’audio, la vidéo et le partage de données, passe par le réseau interne de l’entreprise. Sans chiffrement de bout en bout, Zoom a la capacité technique d’avoir accès à la vidéo et à l’audio des réunions qui transitent par le serveur Meeting Connector d’un client. Même dans le cas où les réunions Zoom ne sont pas chiffrées de bout en bout, seul le client devrait avoir accès à aux données contenues sur son serveur Meeting Connector.
Risques
- Perte de confidentialité et de l’intégrité des informations ;
- Exécution de code à distance ;
Systèmes affectés
- Applications Zoom client sur Windows, Mac et Android et iOS ;
Mesures à prendre
- Les utilisateurs doivent désinstaller l’application client Zoom sur leur machines Windows et Mac et changer les mots de passe système ;
- Appliquer la mise à jour dès qu’elle sera disponible ;
- Privilégier l’utilisation de d’outils alternatifs de collaboration en ligne tels que Microsoft Teams, Slack (échanges textuels, vidéo, audio, partage de fichiers et de calendriers, etc…);
Lien Utiles
- https://threatpost.com/two-zoom-zero-day-flaws-uncovered/154337/
- https://www.wired.com/story/zoom-backlash-zero-days/
- https://techcrunch.com/2020/03/31/zoom-at-your-own-risk/
- https://securityboulevard.com/2020/03/infected-zoom-apps-for-android-target-work-from-home-users/
- https://theintercept.com/2020/03/31/zoom-meeting-encryption/