Ancora problemi per Zoom, le GIF in chat potrebbero essere un tentativo di hacking?

Se dovessimo fare un elenco di vincitori e vinti di questo periodo Zoom probabilmente sarebbe tra gli inclassificabili. Gli ultimi tre mesi hanno visto la piattaforma di Video Conferencing passare da sconosciuta a star improvvisa, per poi finire nel mirino di forti critiche per una politica di privacy e Cyber security che lasciava ben più di un dubbio. E, come accade solitamente ai software provider quando finiscono sotto la lente d’ingrandimento, una problematica tira l’altra.

Se state ancora usando Zoom - specialmente per affrontare la scuola, il lavoro o altri impegni sociali - assicuratevi di aver installato l'ultima versione del software di videoconferenza sui vostri computer Windows, macOS o Linux.

Come mai?

No, non si tratta dell'arrivo dell’attesa funzione di crittografia "reale" end-to-end, che apparentemente, secondo le ultime notizie, sarebbe ora disponibile solo per gli utenti a pagamento.Invece, quest'ultimo avvertimento riguarda due vulnerabilità critiche appena scoperte.

Il problema GIF

I ricercatori della Cybersecurity di Cisco Talos hanno rivelato nelle ultime ore di aver scoperto due vulnerabilità critiche di Zoom che avrebbero potuto permettere agli aggressori di hackerare a distanza i sistemi dei partecipanti alle chat di gruppo. Entrambi i difetti in questione sono vulnerabilità di Directory traversal che possono essere sfruttate per scrivere o inserire file dannosi sui sistemi che eseguono versioni vulnerabili del software di videoconferenza per eseguire codice dannoso. Questo attacco consiste nello sfruttare un'insufficiente validazione di sicurezza o una scarsa sanificazione dell'input di nomi di file forniti dall'utente per poter guadagnare, in modo non autorizzato, i privilegi di accesso ai file della vittima.

Secondo i ricercatori, lo sfruttamento di entrambi i difetti richiede un'interazione minima o nulla da parte dei partecipanti alla chat mirata e può essere eseguito semplicemente inviando messaggi appositamente creati attraverso la funzione di chat a un singolo o a un gruppo. La prima vulnerabilità di sicurezza (CVE-2020-6109) risiede nel modo in cui Zoom sfrutta il servizio GIPHY, recentemente acquistato da Facebook, per consentire ai suoi utenti di cercare e scambiare GIF animate durante la chat. I ricercatori hanno scoperto che l'applicazione Zoom non verifica se una GIF condivisa si sta caricando o meno dal servizio Giphy, consentendo a un aggressore di incorporare GIF da un server da lui stesso controllato, che successivamente Zoom, per design, salva sul sistema dei destinatari in una cartella specifica associata all'applicazione. Come se non bastasse, poiché l'applicazione non sanitizza nemmeno i nomi dei file, l’aggressore avrebbe potuto ottenere il Directory traversal, ingannando l'applicazione a salvare i file dannosi camuffati in GIF in qualsiasi punto del sistema della vittima, ad esempio nella cartella di avvio. La seconda vulnerabilità di esecuzione remota del codice (CVE-2020-6110) è contenuta nel modo in cui le versioni vulnerabili dei frammenti di codice dell'applicazione Zoom venivano condivisi attraverso la chat.

Questa è forse una vulnerabilità più tecnica, ma vediamo di capire come funziona.

La funzionalità di chat di Zoom è costruita in aggiunta allo standard XMPP con estensioni aggiuntive per supportare la user experience dell’utente. Una di queste estensioni supporta una funzionalità di inclusione di frammenti di codice sorgente che hanno un supporto completo per la colorazione della sintassi. Con questo si intende la caratteristica di un software, solitamente editor di testo, di visualizzare un testo con differenti colori e font in base a particolari regole sintattiche. La funzionalità di invio di snippets di codice richiede l'installazione di un plugin aggiuntivo, che però non è necessario per la ricezione di questi. Questa funzionalità è implementata come estensione del supporto alla condivisione dei file. La funzione crea un archivio zip del frammento di codice condiviso prima dell'invio e poi lo decomprime automaticamente sul sistema del destinatario.

Secondo i ricercatori, la funzione di estrazione dei file zip di Zoom non convalida il contenuto del file prima di estrarlo, consentendo all'aggressore di attaccare il pc della vittima che riceve il codice. Non solo, un problema di Directory traversal del percorso permette al file zip appositamente creato di scrivere file al di fuori della directory generata casualmente. I ricercatori di Cisco Talos hanno testato entrambi i difetti sulla versione 4.6.10 dell'applicazione client Zoom e li hanno segnalati all'azienda. Zoom ha corretto entrambe le vulnerabilità critiche con il rilascio della versione 4.6.12 del suo software per computer Windows, macOS o Linux.

Quindi per chi ancora non avesse scaricato l’aggiornamento è imperativo agire in fretta!