Zoom中的一个新缺陷可能会让欺诈者模仿组织

在与《黑客新闻》分享的一份报告中，网络安全公司CheckPoint的研究人员今天披露了他们在Zoom中报告的一个微小但易于利用的漏洞的细节。Zoom是一种非常流行且广泛使用的视频会议软件。

最新的Zoom漏洞可能允许攻击者模仿一个组织，利用社会工程技巧欺骗其员工或业务合作伙伴泄露个人或其他机密信息。

我们知道，社会工程攻击听起来可能有点无聊，但就在昨晚，有人用同样的方法点燃了Twitter，当时数百个备受关注的Twitter帐户被黑客攻击，以推广一个加密货币骗局，这一切都要归功于一名员工的内部工具帐户被泄露。

上述漏洞存在于Zoom的可定制URL功能Vanity URL中，旨在让公司在其子域和品牌登录页上创建自定义URL，例如你的公司。

检查点团队发现，由于帐户验证不当，任何会议ID都可能使用任何组织的虚荣URL启动，即使会议是由单独的个人帐户设置的。

“安全问题主要集中在子域功能上，”研究人员说。“有几种方法可以进入包含子域的会议，包括使用包含会议ID的直接子域链接，或使用组织的自定义子域web UI。”

攻击者可以通过两种方式利用此漏洞：

• 通过直接链接进行攻击：黑客可以更改邀请URL，例如https://zo##.us/j/##########，包括他们选择的注册子域，如https://&lt；组织名称&gt；。快速移动us/j/##############在安排会议时。收到此邀请链接的用户可能会落入攻击者的陷阱，认为该邀请是真实的，是由真实组织发出的。
• 攻击专用Zoom web界面：由于一些组织有用于会议电话的Zoom web界面，黑客还可以针对此类界面，尝试将用户重定向到恶意虚荣URL中，而不是实际的Zoom web界面，并加入相关的Zoom会话。

此问题的影响可能导致成功的网络钓鱼企图，使攻击者冒充公司的合法员工，这可能使他们窃取凭据和敏感信息，并进行其他欺诈行为。

Check Point研究人员负责任地向Zoom Video Communications Inc.披露了该问题，并共同努力解决该问题，并为用户提供了额外的保护措施。

Check Point Research集团经理阿迪·伊坎（Adi Ikan）对《黑客新闻》表示：“由于Zoom已成为全球领先的企业、政府和消费者沟通渠道之一，因此防止威胁行为人利用Zoom进行犯罪活动至关重要。”。

“我们与Zoom的安全团队合作，帮助Zoom为全球用户提供更安全、更简单、更可靠的通信体验，让他们能够充分利用该服务的优势。”

今年早些时候，Check Point Research还与Zoom合作，修补了一个严重的隐私漏洞，该漏洞可能允许未经邀请的人参加私人会议，远程窃听整个会议期间共享的私人音频、视频和文档。

由于冠状病毒的持续爆发，Zoom视频会议软件的使用量激增—；从2019年12月的1000万每日会议参与者到2020年4月的3亿多人，使其成为网络犯罪分子最喜欢的目标。

就在上周，Zoom修补了所有受支持版本的Zoom client for Windows中的一个零日漏洞，该漏洞可能使攻击者能够在受害者运行Microsoft Windows 7或更早版本的计算机上执行任意代码。

上个月，Zoom解决了针对Windows、macOS或Linux计算机的视频会议软件中的两个关键安全漏洞，这两个漏洞可能使攻击者能够远程侵入群聊参与者或单个收件人的系统。

今年4月，Zoom发现并报道了一系列问题，这在数百万用户中引发了围绕视频会议软件的隐私和安全问题。