Популярный сервис видеоконференций представляет опасность для ИБ Казахстана

В программном обеспечении Zoom, которое сейчас бьет все рекорды популярности в мире из-за эпидемии коронавируса, нашли две критические уязвимости. Одна из ошибок позволяет злоумышленникам красть пароли операционной системы Windows, а вторая — получить доступ к микрофону и камере без запроса доступа у пользователя MacOS. Если проблема не будет устранена в кратчайшие сроки, Казахстан может столкнуться с массовой атакой, в том числе и на критическую инфраструктуру. Об этом заявили представители ЦАРКА.

Об угрозе для владельцев Мас сообщил Джонатан Лейтшу (Jonathan Leitschuh) — согласно его данным, злоумышленники могут удаленно выполнить произвольный код на целевой системе. Проблема связана с одной из функций Zoom, которая автоматически активирует приложение, позволяя участникам присоединиться к видеоконференции, кликнув на приглашение в браузере. Оказалось, что для этого функционала Zoom устанавливает в систему web-сервер (порт 19421), который получает команды через запросы HTTPS GET. При этом с сервером может взаимодействовать любой сайт, открытый в браузере. Для компрометации злоумышленнику потребуется лишь создать ссылку-приглашение в своей учетной записи на официальном сайте Zoom, встроить ее в сторонний ресурс (изображение или iFrame) и убедить пользователя посетить этот ресурс. Если владелец Мас, на котором установлено ПО Zoom, посетит вредоносный сайт, приложение принудительно запустится на компьютере и активирует web-камеру, подвергая пользователя риску атак. Более того, деинсталляция Zoom не решит проблему — web-сервер автоматически переустановит приложение без участия и разрешения пользователя. Кроме активации камеры злоумышленник может использовать эту уязвимость для вывода Мас из строя. Для этого будет достаточно отправить большое количество повторяющихся GET-запросов на локальный сервер. Джонатан Лейтшу проинформировал разработчиков платформы о проблеме, однако баг был исправлен лишь частично. Возможность активации камеры просто отключили. Но проблема, которая позволяет злоумышленнику принудительно подключить к конференции пользователей, посетивших вредоносный сайт, все еще актуальна. Пользователям предлагается самостоятельно решить проблему. Необходимо отключить в настройках Zoom опцию, автоматически активирующую камеру при подключении к видеоконференции.

Что касается кражи паролей в ОС Windows, то об этой уязвимости стало известно совсем недавно. Как оказалось, клиент Zoom для Windows дает возможность злоумышленнику украсть учетные данные пользователя в операционной системе, всего лишь отправив собеседнику в окне чата UNC-ссылку. Как только пользователь перейдет по этой ссылке, злоумышленник получит необходимую ему информацию. И, хотя пароли Windows передаются в зашифрованном виде, появились данные о том, что их можно расшифровать в том случае, если пароль недостаточно сложный.

Более того, в конце марта специалисты Check Point сообщили о другой угрозе со стороны Zoom для пользователей Windows. Злоумышленники стали активно использовать поддельные домены Zoom для распространения вредоносного ПО и получения доступа к чужим видеоконференциям. Специалисты по ИБ рассказали, что с начала года было зарегистрировано свыше 1700 доменных имен, содержащих слово «zoom». В Check Point обнаружили вредоносные файлы вида «zoom-us-zoom_##########.exe», где # — набор цифр. После запуска такого файла на компьютер пользователя устанавливается пакетное приложение InstallCore, которое в дальнейшем используется для загрузки вредоносного ПО. Специалисты Check Point предупредили — в сложившихся условиях, когда многие вынуждены работать удаленно, важно быть особенно бдительными при работе с электронными письмами и файлами, получаемыми из неизвестных источников.

«Не переходите по ссылкам и не открывайте вложения в письмах, которые пришли от непроверенных источников. Внимательно проверяйте адреса отправителей писем, а также адреса веб-сайтов, с которыми вам приходится взаимодействовать. Это поможет избежать перехода на поддельные ресурсы, которые используются злоумышленниками для распространения вредоносных программ», — предостерегли специалисты Check Point.

Казахстан не остался в стороне от общемировой тенденции. В нашей республике в условиях массового перехода на удаленную работу сервис видеоконференций Zoom очень быстро получил широкое распространение. Однако ввиду выявленных уязвимостей казахстанцам настоятельно рекомендуют найти ему другую альтернативу.

«К сожалению, Казахстан не имеет отечественных аналогов Zoom или Skype для обеспечения безопасной связью в период чрезвычайного положения. Однако опенсорсные решения вполне могут стать хорошим выходом из ситуации, и это идеально укладывается в рамки инициативы Президента „Окно возможностей“, направленной на развитие отечественного производства и ПО», — отметили представители ЦАРКА.