Dois pesquisadores de segurança revelaram várias vulnerabilidades de dia zero no Zoom nos últimos dias que teriam permitido que hackers assumissem o controle do computador de alguém, mesmo que a vítima não tivesse clicado em nada. O Zoom confirmou ao Gizmodo que lançou uma atualização do lado do servidor para resolver as vulnerabilidades na sexta-feira (9) e que os usuários não precisam tomar nenhuma ação adicional.
As vulnerabilidades foram identificadas pelos pesquisadores holandeses Daan Keuper e Thijs Alkemade da Computest Security, uma empresa de segurança cibernética e gerenciamento de risco, como parte da competição de hacking Pwn2Own 2021, promovida pela Zero Day Initiative. Embora não sejam conhecidos muitos detalhes sobre as vulnerabilidades devido à política de divulgação da concorrência, em essência, os pesquisadores usaram uma cadeia de três bugs no aplicativo de desktop Zoom para realizar uma exploração de execução remota de código no sistema de destino.
O usuário não precisava clicar em nada para que o ataque sequestrasse seu computador. Você pode ver o bug em ação abaixo.
Tradução: Ainda estamos confirmando os detalhes da exploração do Zoom com Daan e Thijs, mas aqui está um gif melhor do bug em ação.
De acordo com o MalwareBytes Labs, que citou uma resposta do Zoom, o ataque precisava se originar de um contato externo aceito ou fazer parte da mesma conta organizacional do alvo. A falha também afetou especificamente o Zoom Chat, a plataforma de mensagens da empresa, mas não afetou o recurso de chat nas reuniões de vídeo e webinars do Zoom.
Keuper e Alkemade ganharam US$ 200 mil por sua descoberta. Esta foi a primeira vez que a competição apresentou a categoria “Comunicação Empresarial” — dado o quão familiarizados todos nós estamos com nossas telas por causa da Covid-19, não é de se admirar o por quê — e o Zoom foi participante e patrocinador do evento.
Em um comunicado sobre a vitória de Keuper e Alkemade, a Computest disse que os pesquisadores conseguiram assumir quase completamente o controle dos sistemas almejados, realizando ações como ligar a câmera e o microfone, ler e-mails, visualizar a tela e baixar o histórico do navegador.
“O Zoom ganhou as manchetes no ano passado por causa de várias vulnerabilidades. No entanto, isso dizia respeito principalmente à segurança do próprio aplicativo e à possibilidade de assistir e ouvir junto chamadas de vídeo. Nossas descobertas são ainda mais sérias. Vulnerabilidades no cliente nos permitiram assumir todo o sistema dos usuários”, disse Keuper em um comunicado.
Caso você tenha esquecido, o Zoom não era exatamente sinônimo de segurança no ano passado. Houve os famosos “Zoom Bombings”, que aproveitaram as medidas de exibição de tela negligentes da plataforma para mostrar vídeos pornográficos e imagens nazista em reuniões. Além disso, a empresa só implementou criptografia de ponta a ponta em outubro, depois de uma grande confusão sobre se o Zoom realmente a suportava ou não.
A empresa disse ao Gizmodo no sábado (10) que não tinha conhecimento de nenhum incidente em que atores mal-intencionados teriam explorado as vulnerabilidades encontradas pelos pesquisadores.
“Em 9 de abril, lançamos uma atualização do lado do servidor que se defende contra o ataque demonstrado no Pwn2Own no Zoom Chat, nosso produto de mensagens em grupo”, disse um porta-voz da empresa. “Esta atualização não requer nenhuma ação de nossos usuários. Continuamos a trabalhar em mitigações adicionais para resolver totalmente os problemas subjacentes. O Zoom também não tem conhecimento de nenhum acidente em que um cliente tenha sido explorado por esses problemas.”
fique por dentro das novidades giz
Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas
