导航菜单

玫瑰花怎么养-Mac Zoom缝隙细节剖析

Mac Zoom客户端中存在缝隙,答应任何歹意网站在未经答应的情况下启用摄像头。这一缝隙或许会暴露出世界上多达75万家运用ZOOM进行日常事务的公司。

CVE编号

DOS缝隙:在客户端版别4.4.2-CVE-2019–13449中修正

信息走漏(网络摄像头):未补-CVE-2019–13450

更新-7月9日(下午)ZOOM表明他们将在今晚发布修正程序,移除躲藏的Web服务器;期望这能修补这个缝隙。ZOOM首席履行官还确保,他们将更新其应用程序进一步维护用户隐私。

前语

此缝隙答应任何网站在未经用户答应的情况下,在摄像机在线的情况下强制参加zoom call。除此之外,此缝隙还答应任何网页经过重复将用户参加无效呼叫来拒绝服务。

此外,假如您装置了zoom客户端,然后将其卸载,您的核算机上依然有一个本地主机Web服务器,它将重新装置zoom客户端,除了拜访网页外,不需求任何用户进行交互。这个重新装置的“功用”至今依然有用。

此缝隙运用了很简略的zoom功用,能够向任何人发送会议链接(例如https://zoom.us/j/492468757)当他们在浏览器中翻开该链接时,玫瑰花怎么养-Mac Zoom缝隙细节剖析他们的zoom客户端会在本地核算机上翻开。可是这一惊人的功用是怎么完成的,以及它是怎么安全地完成的。后来发现,它的确没有得到安全的施行。不需求额定的用户交互来确保安全。

该缝隙开始是在2019年3月26日发表的。这个开始的陈玫瑰花怎么养-Mac Zoom缝隙细节剖析述包含对“快速修正”zoom的主张,能够经过简略地更改服务器逻辑来完成。ZOOM用了10天来承认缝隙。在2019年6月11日第一次关于怎么修补缝隙的实践会议,仅在90天揭露发表截止日期前18天。在这次会议中,承认了缝隙的细节,并评论了ZOOM的方案处理方案。可是,很简略在修补方案中发现新的缝隙运用办法。此刻,zoom只剩下18天的时刻来处理缝隙。在等待了90天之后的6月24日,也便是揭露发表截止日期前的终究一天,ZOOM只完成了开始主张的“快速修正”处理方案。

终究,ZOOM未能快速承认所陈述的缝隙,未能及时修正。未能维护如此巨大用户群免受进犯。

细节

在Mac上,假如您装置了ZOOM,那么本地核算机上就有一个运转在端口19421上的Web服务器。您能够经过在终端中运转’lsof-i:19421′来承认此服务器是否存在。首要,在本地机器上装置一个运转Web服务器的应用程序和一个彻底没有文档的API是很风险的。其次,拜访的任何网站都能够与运转在本地的Web服务器进行交互也是很风险的。当我得知这个Web服务器存在时,开始的主意是,假如在这个Web服务器的参数处理中有一个缓冲区溢出,那么就能够在我的机器上完成RCE。我还发现,这个页面不是宣布惯例的Ajax恳求,而是从本地运转的Web服务器加载图画。图画的不同维度指示服务器的过错/状况代码。您能够在这里看到事例切换逻辑。

可怕的是,Web服务器能够做的远不止发动一个zoom会议。假如用户卸载了zoom应用程序,这个Web服务器也能够重新装置。我的问题是,为什么这个Web服务器回来的数据是以图画文件维度编码的?其原因应该是为了绕过跨源代码资源共享(cors)。可是浏览器显式地疏忽本地主机上运转的服务器的任何CORS战略。

Chrome does not support localhost for CORS requests (an open bug since 2010) 文章链接:https://李美妍stackoverflow.com/questions/10883211/deadly-cors-when-http-localhost-is-the-origin 视频通话缝隙

用另一个帐户创立了一个个人会议,接获数据包并对数据包进行解析后删去参数,检查发动zoom会议所需的最小GET恳求。有许多随机参数被发送到本地主机Web服务器,但仅有重要的是下面的参数。

action=join confno=[whatever the conference number is]

获取恳求可使我的核算机参加另一个帐户创立的zoom会议。

以上操作成功后,我在想是否能够经过传递参数履行其他共呢个。但在查找了各种公共文档和公共Protobuff后,找不到任何关于躲藏功用或许存在的介绍阐明。这个Web服务器的API彻底没有文档记载,在官方和非官方文档中查找不到关于这个桌面Web服务器的任何信息。

所以现在我有了一个最简略的POC,能够用它歹意地让任何用户拨打电话,由于“新会议”的默许设置是答应用户挑选是否参加他们的音频/视频。我以为这仅仅一个安全缝隙。直到今日依然能够运用此缝隙在未经答应的情况下发动呼叫。我查阅了六个月前zoom修补的RCE缝隙,该缝隙结合现在的这个缝隙能够再任何装置zoom客户端的mac电脑上长途履行代码。假如一个相似特征的缝隙呈现就会导致进犯者运用恣意网站再mac上履行代码。任何运用zoom版别在4.1.33259.0925或许更低的版别都会收到进犯。

到目前为止,我只能在没有用户答应的情况下让他们参加视频会议。可是怎么运用该缝隙激活摄像头。

翻开参与者形式进行会议时,我发现参加会议的任何人都会主动衔接视频。在我自己的机器上尝试了相同的功用,发现它的作业原理彻底相同。这促进我鄙人面创立概念证明。

概念证明

本地客户机zoom Web服务器作为后台进程运转,因而,为了运用这一点,用户乃至不需求“运转”(在传统意义上)zoom应用程序就会遭到进犯。

一个网站需求做的便是将上述内容嵌入到他们的网站中,任何zoom用户都会当即与他们运转的视频衔接起来。能够是嵌入歹意广告,也可用作网玫瑰花怎么养-Mac Zoom缝隙细节剖析络垂钓活动的一部分。

能够鄙人面链接的POC进行缝隙测验。正告:在Mac上单击此链接将使您进入zoom call!https://jlleitschuh.org/zoom_vulnerability_poc/能够鄙人面的衔接找到一个彻底作业的POC,它将在您的摄像机处于活动状况时发动您的通话。正告:在Mac上单击此链接将使您在相机激活的情况下进入zoom call!

快速修正

为了修正该缝隙的“主动参加视频”部分,主张在其后端服务器上进行校验,服务器端会当即禁用会议创立者默许情况下主动启用参与者视频功用。一起假如有其他躲藏的功用也应该被禁用。

对此主张,我收到以下回复:ZOOM官方信任能够让咱们的客户挑选他们想要的zoom办法。这包含他们是否期望在主动启用麦克风和视频的情况下参加会议,或许在参加会议后手动启用这些输入设备。在zoom会议客户端音频和视频设置中能够运用这些装备选项。可是,咱们也认识到一些客户期望在参加会议之前进行承认对话。依据您的主张和来自其他客户的功用恳求,Zoomteam[sic]正在评价此类功用,以及在对用户输入设备修改时的权限操控。咱们一定会告诉你咱们的改善方案。

需求留意的是,zoom默许装备是答应主机挑选在默许情况下相机是否启用。ZOOM终究修正了这个缝隙,但仅仅阻挠进犯者翻开用户的摄像机。他们没有禁用进犯者强行使拜访歹意网站的人进入zoom视频会议的功用。

更新:2019年7月7日:zoom在新的更新修正中答应摄像机在激活的状况中运用此缝隙。

拒绝服务(DOS)缝隙

相同的缝隙也答应进犯者对任何用户的核算机履行DoS操作。只需发送一个过错数字的重复GET恳求,ZOOM应用程序就会不断地从操作系统恳求“对焦”,POC如下:

在4.4.2版的zoom客户端中修补了此DOS缝隙。

装置缝隙

假如在核算机上装置了zoom,则会装置Web服务器。假如从核算机上卸载zoom,它会持续运转。除了发动视频功用外,此服务器还支撑更新和装置新版别的zoom。

此Web服务器内的一个API在一切装置了zoom的Mac上运转,该api答应此服务器更新或重新装置当时装置的zoom版别。您能够经过履行以下操作来承认此逻辑的确存在:

假如没有装置zoom客户端,请在核算机上装置它。 翻开缩放客户端,然后封闭它。 将applications/zoom.us.app文件删去,从核算机中卸载zoom客户端。 翻开任何zoom链接,zoom将重新装置到客户端应用程序文件夹中,并该Web服务器发动。

对源代码中列出的一切域进行whois查找。例如,域名zoomgov.com于2019年5月1日到期。假如此域注册失效,接收此域将答应进犯者从该站点保管受感染的ZOOM装置程序版别,以及现已卸载ZOOM的受感染的用户。这将使该缝隙成为长途代码履行(RCE)缝隙。我在2019年4月26日与Mozilla安全团队通话时向ZOOM团队阐明晰这一点。在通话完毕后的5小时后,该域名已注册到2024年5月1日。

根本安全缝隙

在我看来,网站不应该和桌面应用程序交互。浏览器应该强制其在沙箱履行,以避免其在用户核算机上履行歹意代码。

CORS-RFC1918

在与Chromium和Mozilla Firefox安全团队评论此缝隙时,他们都表明他们无法对此缝隙采纳任何办法。 Chromium团队向我指出CORS-RFC1918要求浏览器供货商在答应站点对本地资源(如localhost和192.168.1.*地址空间)宣布恳求之前查询用户的权限。

Google的Project Zero的Tavis Ormandy在TrendMicro的暗码管理器中发现了相似的缝隙,答应经过浏览器长途履行代码并从暗码保险库中走漏用户的暗码。

当向Mozilla Firefox团队陈述此相同缝隙时,他们并没有注重,由于它不是针对Firefox的缝隙。可是,官方很快意识到该缝隙的损害。在2019年4月26日我被邀请与Zoom和Mozilla Firefox团队联络评论该缝隙。在这次电话会议中,他们向Mozilla和我许诺,这个缝隙将在90天内得到修补。

总结

到2015年,Zoom具有超越4000万用户。Mac占PC商场的10%,并且自2015年以来Zoom明显增加,能够假定至少有400万的Zoom用户运用Mac。 Zoom,Google Meet或Skype for Business等东西。

具有此很多用户的应用程序中的任何缝隙都必须被视为对用户的严重威胁。本陈述中描绘的一切缝隙都能够经过 “drive-by attack”办法进行运用。在我与Zoom安全团队的对话中,他们好像屡次争辩论这个缝隙的严重性是有限的,由于它需求“用户交互”才干运用这些缝隙。

我信任,为了彻底维护用户需求删去这个localhost Web服务器解。运用浏览器注册自定义URI处理程序(例如,zoom:// URI处理程序)等代替办法。触发URI处理程序后,浏览器会清晰提示用户承认翻开应用程序。依据Zoom团队的说法,localhost服务器存在的原因是Apple的Safari不支撑URI处理程序。

*参阅来历:medium,Kriston编译收拾,转载请注明来自 FreeBuf.COM

二维码