Au milieu des conférences Web et des pourparlers sur la pandémie COVID-19, certains sont la principale méthode de communication Internet pour les entreprises et les parties privées. Et tandis que ZOOM est un choix préféré pour beaucoup, il est devenu tristement célèbre pour avoir de graves problèmes de sécurité. Heureusement, ses développeurs réagissent rapidement aux vulnérabilités.
Étant donné qu'un très grand nombre d'utilisateurs l'utilisent, de nombreuses organisations clandestines traitent les informations d'identification ZOOM volées. Tout cela conduit à de nombreux scénarios dangereux, dont beaucoup sont utilisés par des groupes criminels. Dans cet article, nous visons à montrer pourquoi les problèmes de ZOOM découverts sont en fait un problème qui persiste dans le temps.
Les vulnérabilités ZOOM - ce qui s'est passé et pourquoi elles sont dangereuses?
ZOOM est un puissant service de conférence Web qui est principalement utilisé par les grandes entreprises et divers groupes pour mener des discussions, présentations et discussions de groupe. En tant que l'un des meilleurs logiciels de sa catégorie, de nombreux problèmes de sécurité rencontrés au fil des ans ont un impact beaucoup plus important qu'un bogue temporaire.. Et bien que la société ait rapidement résolu les problèmes, il semble que cela ait affecté les victimes d'une manière beaucoup plus large qu'elles pourraient l'imaginer..
L'un des bogues les plus importants qui affectent le logiciel a été détecté dans Décembre 2018 et suivi dans le CVE-2018-15715 consultatif. C'était une faiblesse du programme qui permettait aux pirates distants de détourner des sessions en ligne. Cela a été fait en usurpant le trafic Internet afin de prendre le contrôle de toutes les sessions.
Le code de preuve de concept publié montre comment les criminels peuvent prendre le contrôle des conférences en utilisant plusieurs scénarios différents — certains d'entre eux incluent l'espionnage des utilisateurs, des sessions d'interception et aussi des sessions dont les hackers ne font pas partie des réunions.
Au moment où de tels bogues de sécurité à fort impact ont été découverts "Zoom Bonbing" phénomène. Il s'agit d'une technique utilisée par des acteurs malveillants utilisés pour s'immiscer dans une conférence ZOOM active. L'intention peut être de publier du contenu SPAM, perturber les réunions ou détourner l'attention sur un autre sujet. Tel “raids” sont effectivement organisés sur divers réseaux sociaux et communautés, y compris Reddit, 4chan, Facebook, Gazouillement, Discorde et autres. Cela montre que de nombreux pirates, farceurs, les spammeurs et les types d'utilisateurs connexes ont détourné leur attention sur l'utilisation de ZOOM comme plate-forme pour des activités criminelles.
En avril de cette année, un expert en sécurité publié sur Twitter que la version Windows de l'application ZOOM est vulnérable à une vulnérabilité classée comme un type de “Injection de chemin UNC”. Il s'agit d'un bogue de sécurité permettant aux criminels informatiques de détourner des informations d'identification dans le cadre de l'attaque, dans ce cas, il s'agit du mot de passe de connexion au système d'exploitation pour l'utilisateur actuel.
Ce type de bogue peut être utilisé pour exécuter des applications déjà présentes sur les systèmes ou pour lancer des commandes sur ceux-ci. Cela peut être utilisé dans divers scénarios tels que les suivants:
- Malware infections — Grâce à l'exécution de commandes spécifiques en utilisant les vulnérabilités, les pirates peuvent implanter divers types de logiciels malveillants sur les ordinateurs. Cela inclut les ransomwares, Troyen, mineurs et etc crypto-monnaie.
- modifications du système — Les commandes à distance peuvent également modifier les paramètres clés du système d'exploitation ou des logiciels installés, ce qui entraîne des problèmes de performances et même un sabotage..
- Opérations de vol de fichiers et de chevaux de Troie — Des campagnes de logiciels malveillants avancés peuvent être utilisées pour voler des fichiers ou pour installer des clients de chevaux de Troie qui sont utilisés pour prendre le contrôle des machines.
Qu'arrive-t-il aux comptes ZOOM détournés
L'un des principaux objectifs de toutes les campagnes de logiciels malveillants lancées contre les utilisateurs de ZOOM est de voler les informations d'identification des utilisateurs: non seulement sur le logiciel, mais aussi d'autres services, étendre éventuellement cela aux services bancaires, e-mails et autres. Les groupes criminels peuvent recourir à la vente des informations détournées sur les communautés souterraines. Les endroits les plus appropriés sont les marchés du Dark Web qui sont utilisés pour échanger des logiciels pirates, drogues et données volées, entre autres biens. Lorsque cela concerne des comptes volés, cela peut avoir un impact beaucoup plus important - souvent, les criminels étiquetent si les utilisateurs victimes proviennent d'une entreprise, agence gouvernementale ou autres cibles de premier plan.
Certaines des utilisations courantes des comptes ZOOM volés sont les suivantes:
- compte vol — Lorsque les conférences ZOOM sont conduites par des employés ou des fonctionnaires, dans de nombreux cas, les comptes vers d'autres services sont partagés. Lorsque les sessions sont espionnées, ces informations peuvent devenir disponibles.
- Le vol de données sensibles — Les criminels peuvent détourner toutes les données qui peuvent être considérées comme lucratives par les criminels.
- Vol d'identité — Les informations détournées sur les utilisateurs peuvent être utilisées dans divers délits liés à l'identité et abus financiers connexes.
Les hacks ZOOM organisés au fil des ans ont abouti au vol réussi d'informations auprès d'institutions et d'entreprises telles que: Université du Colorado, Dartmouth, Lafayette, Chasse, Citibank et d'autres. Des comptes détournés d'eux et d'autres sociétés victimes ont par la suite été placés dans de grosses commandes de vendeurs. Une entreprise a acheté environ 530,00 des comptes individuels des victimes pour le prix de $0.002 chaque. Au cours de l'analyse, il apparaît que certaines des intrusions ont été faites dans le cadre d'attaques plus anciennes.
En ce qui concerne l'utilisation des services en ligne, certaines des stratégies de sécurité proactives implémentent désormais l'utilisation de notifications de violation de base de données publiques, telles que la populaire Ai-je été mis en attente. Les utilisateurs de compte ZOOM doivent également surveiller attentivement les sites d'actualités de sécurité afin de rester vigilants en cas de détection de problèmes.. Nous recommandons toujours l'utilisation d'un utilitaire anti-malware de qualité professionnelle.