Araştırmacılar, Zoom uygulamasında uzaktan kod yürütme (RCE) saldırılarını başlatmak için kullanılabilecek bir sıfır gün (zero-day) güvenlik açığı olduğunu ortaya çıkardı. Zero Day Initiative tarafından Pwn2Own adında, beyaz şapkalı siber güvenlik uzmanlarının ve ekiplerinin popüler yazılımlardaki hataların keşfinde rekabet etmeleri için bir yarışma düzenlendi.
Katılımcılar en son düzenlenen yarışmada web tarayıcıları, sanallaştırma yazılımı, yerel ayrıcalık yükseltme, kurumsal iletişim ve sunucular gibi farklı 23 kategoride yarıştı. Başarılı olan yarışmacılar için ise yüksek maliyetli ödüller kazandı. Örneğin; Zoom uygulaması güvenlik açığını keşfeden Daan Keuper ve Thijs Alkemade, bu keşif sayesinde 200.000 dolar ödül kazandı.
Zoom Uygulaması Güvenlik Açığının Teknik Detayları Gizli Tutuluyor
Computest araştırmacıları, herhangi bir kullanıcı etkileşimi olmasına gerek kalmadan hedef makinede uzaktan kod yürütmeye (RCE) neden olan üç hatalı saldırı zincirinin varlığını gösterdi. Zoom uygulamasının henüz çok yeni keşfedilmiş bu kritik güvenlik açığı sorununu düzeltmek için yeterli zaman olmadığından dolayı güvenlik açığına dair bazı teknik ayrıntılar gizli tutuldu.
Olası bir saldırının eylem esnasındaki animasyonu ile bir saldırganın, açıktan yararlanarak Zoom çalıştıran bir makinenin hesap makinesi programını nasıl açabildiği gösterildi. Henüz bu tarz bir saldırının iOS ya da Android sürümlerinde gerçekleşme ihtimalinin olup olmadığı test edilmedi.
Malwarebytes’in yaptığı açıklamaya göre saldırının, video konferans uygulamasının hem Windows hem de Mac sürümünde gerçekleşme ihtimali bulunuyor. Fakat çevrimiçi konferans yazılımının tarayıcı sürümü bu tehditten etkilenmiyor. Zoom, Tom’s Guide’a yaptığı açıklamada, Computest araştırmacılarına teşekkür etti ve şirketin bu sorunu çözmek için çalıştığını söyledi. Düzenlenen yarışmadaki diğer başarılar ödülleri ise şunlar:
- Apple Safari: Jack Dates, Çekirdek Düzeyinde Kod Yürütme, 100.000 dolar
- Microsoft Exchange: DEVCORE, Tam Sunucu Devralma, 200.000 dolar
- Microsoft Teams: OV, Kod Yürütme, 200.000 dolar
- Ubuntu Masaüstü: Ryota Shiga, Standart Kullanıcı Root, 30.000 dolar
