Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Mesačný prehľad za mesiac júl 2020
Tlačové správy
05.08.2020
Mesačná správa CSIRT.SK - Jún 2020
Tlačové správy
23.07.2020
Mesačná správa CSIRT.SK - Máj 2020
Tlačové správy
21.07.2020
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Chyba vo funkcii Vanity URL aplikácie Zoom umožňuje vydávať sa za používateľa tejto funkcie

28.07.2020
Funkcia Vanity URL v aplikácii Zoom slúžiaca na vytvorenie vlastnej URL nie je chránená proti impersonácii. K pozvánke na stretnutie je možné uviesť akúkoľvek subdoménu, vďaka čomu môže vyzerať rovnako ako pozvánka od spoločnosti, ktorá túto doménu používa. Spoločnosť Zoom Video Communications vydala na túto chybu záplatu.

 

Dôsledky

  • Možnosť vytvárať stretnutia v mene spoločností, ktoré využívajú Vanity URL
  • Útočník môže pred obeťou pôsobiť ako člen spoločnosti, ktorej doménu zneužil

Opis činnosti

V aplikácii Zoom je možné využiť funkciu Vanity URL určenú pre spoločnosti, vďaka ktorej je možné vytvoriť si vlastnú subdoménu pre domény Zoom (mojadomena.zoom.us). Tieto domény potom umožňujú používateľom ľahšie rozlíšiť, kto poslal pozvánku na stretnutie, keďže v každej pozvánke od danej spoločnosti je uvedená jej doména.

Bezpečnostní výskumníci zo spoločnosti CheckPoint zistili, že kvôli nesprávnej validácii konta je možné ku akejkoľvek URL pozvánke pridať niektorú z registrovaných poddomén, vďaka čomu je nerozoznateľná od pravých pozvánok. Navyše útočník môže v URL zmeniť „/j/“ na „/s/“, teda namiesto „join“ by sa použilo „sign in“, čo by odkázalo na domovskú poddoménu spoločnosti s cieľom presvedčiť obeť, že odkaz je pravý.

Niektoré spoločnosti využívajú aj vlastné webové rozhranie Zoom, z ktorého je možné sa cez ID stretnutia pripojiť na akékoľvek stretnutie vrátane tých, čo neboli vytvorené danou organizáciou. Útočník vďaka tejto chybe môže pozvať obeť na pripojenie sa cez rozhranie akejkoľvek spoločnosti.

Zraniteľné systémy
Zoom Meetings 5.1.2 a staršie

Závažnosť zraniteľnosti
Stredná

Možné škody
Únik informácií

Odporúčania

Bezodkladná aktualizácia aplikácie Zoom Meetings aspoň na verziu 5.1.3

Odkazy
https://latesthackingnews.com/2020/07/20/zoom-vanity-url-vulnerability-could-allow-stealing-credentials/
https://blog.checkpoint.com/2020/07/16/fixing-the-zoom-vanity-clause-check-point-and-zoom-collaborate-to-fix-vanity-url-issue/



<< zoznam oznámení