Злоумышленник может осуществлять фишинговые атаки, выдавая себя за легитимных сотрудников компании.

Специалисты из компании CheckPoint сообщили об обнаруженной уязвимости в популярном программном обеспечении для видеоконференций Zoom. Уязвимость в Zoom позволяет злоумышленникам выдавать себя за легитимные организации, обманывая их сотрудников или деловых партнеров с целью хищения персональной или другой конфиденциальной информации путем социальной инженерии.

Проблема содержится в настраиваемой функции под названием Vanity URL, с помощью которой компании могут создавать собственные URL-адреса на своем поддомене и фирменной целевой странице, такой как «yourcompany.zoom.us», где ссылка на приглашение на конференцию будет выглядеть как https : //organization_name.zoom.us/j/########## вместо обычного формата https: // zoom(.)us/j/##########.

Из-за некорректной проверки учетной записи любая конференция могла быть запущена с использованием URL-адреса Vanity любой организации, даже если собрание было создано отдельной учетной записью.

Злоумышленники могут использовать уязвимость двумя способами: с помощью прямых ссылок или атаки на выделенные web-интерфейсы Zoom. В первом случае хакер может изменить URL-адрес приглашения, например https: // zoom(.)us/j/########## и включить зарегистрированный поддомен по своему выбору, например https: // <название организации> .zoom.us / j / ##########, при настройке собрания. Пользователь, получивший подобную ссылку-приглашение, может попасть в ловушку злоумышленника, полагая, что приглашение было подлинным и было отправлено реальной организацией.

Другой способ присоединится к видеоконференции — использовать специальный web-интерфейс дочернего домена организации. Пользователь может ввести любой идентификатор собрания на этом экране, независимо от того, был ли он первоначально запланирован сотрудником организации, и присоединиться к соответствующему сеансу Zoom. Злоумышленник мог пригласить жертву присоединиться к сеансу через специальный web-сайт, и жертва не имела бы возможности узнать, что приглашение на самом деле пришло не от легитимной организации.

Таким образом злоумышленник может осуществлять фишинговые атаки, выдавая себя за легитимных сотрудников компании.

Исследователи Check Point сообщили об этой проблеме Zoom Video Communications Inc. и совместно работали над ее исправлением.

Источник: securitylab