V klientskom softvéri Zoom sa vyskytuje chyba, ktorá môže viesť k odhaleniu citlivých informácií

Vo videokonferenčnej platforme Zoom sa nachádza zraniteľnosť pri zdieľaní obrazovky, ktorej zneužitím môže dôjsť k vyzradeniu citlivých informácií. Chyba zatiaľ nie je opravená, avšak spoločnosť si je vedomá tohto problému a pracuje na jeho vyriešení.

Dôsledky

  • Možný únik citlivých informácií

Opis činnosti
CVE-2021-28133

V aplikácii Zoom sa vyskytuje chyba pri zdieľaní obrazovky. Zraniteľnosť CVE-2021-28133 môže viesť k prezradeniu citlivých informácií. Zraniteľnosť odhalili výskumníci zo spoločnosti SySS Michal Strametz a Matthias Deeg a nahlásili ju spoločnosti Zoom už 2. decembra 2020. Vzhľadom na zložitosť zneužitia považujeme túto zraniteľnosť za stredne závažnú.

Zoom vo všeobecnosti poskytuje zdieľanie celej obrazovky, časti obrazovky alebo jednej alebo viacero konkrétnych aplikácií. Pri zdieľaní jednej alebo viacerých aplikácií môže dôjsť ku krátkodobému odhaleniu obsahu aplikácií, ktoré nie sú zdieľané. Teda v prípade, že používateľ zdieľa jednu aplikáciu a popri tom si na pozadí otvorí ďalšiu (už nezdieľanú) aplikáciu, môže sa na krátku dobu zobraziť jej obsah.

Táto zraniteľnosť však zatiaľ nie je opravená. Bola tiež zverejnená funkčná ukážka jej zneužitia. Testovaná bola na verziách 5.4.3 a 5.5.4 v klientoch pre Windows aj Linux. Spoločnosť Zoom sa vyjadrila, že si je tohto problému vedomá a pracuje na jeho vyriešení.

Fakt, že nebola vydaná aktualizovaná verzia, je pripisovaný tomu, že je ťažké zraniteľnosť zneužiť. Na videokonferencii by musel byť prítomný útočník, ktorý by zaznamenal nahrávku zo stretnutia a následne si ju prehral, aby zachytil potenciálne citlivé informácie. Útočník môže použiť samostatnú aplikáciu na záznam obrazovky a na neskoršie opätovné prehranie a analýzu.

Zraniteľné systémy

  • Klientsky softvér Zoom verzie 5.5.4 (13142.0301)
  • Klientsky softvér Zoom verzie 5.4.3 (54779.1115)

Závažnosť zraniteľnosti
Stredná

Možné škody
Únik citlivých informácií

Odporúčania
Vzhľadom k tomu, že zraniteľnosť nie je opravená, odporúčame byť opatrný pri používaní funkcie zdieľania obrazovky.

Odkazy
https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2020-044.txt
https://www.youtube.com/watch?v=SonmmgQlLzg
https://thehackernews.com/2021/03/new-zoom-screen-sharing-bug-lets-other.html?m=1
https://threatpost.com/zoom-glitch-leaks-data/164876/