Zoom Bug允许窥探者在几分钟内破解私人会议密码

广受欢迎的视频会议应用Zoom最近修复了一个新的安全漏洞，该漏洞可能使潜在攻击者破解用于保护平台上私人会议的数字密码，并窥探参与者。

Zoom会议默认由六位数字密码保护，但据发现问题的SearchPilot副总裁汤姆·安东尼（Tom Anthony）说，由于没有速率限制，“攻击者可以在几分钟内尝试使用所有100万个密码，并访问其他人的私人（受密码保护的）Zoom会议。”

值得注意的是，Zoom早在4月份就开始要求所有会议都要有密码，以此作为打击Zoom爆炸袭击的预防措施。Zoom爆炸袭击指的是在未经邀请分享淫秽和种族主义内容的情况下扰乱和劫持Zoom会议的行为。

Anthony于2020年4月1日向该公司报告了安全问题，以及基于Python的概念验证脚本，一周后Zoom于4月9日修补了该漏洞。

默认情况下，会议由六位数的密码保护，这意味着最多只能有一百万个密码。

但是，在没有检查重复错误密码尝试的情况下，攻击者可以利用Zoom的web客户端(https://z**.us/j/MEETING_ID)连续发送HTTP请求，尝试所有100万种组合。

安东尼说：“通过改进线程，并在4-5台云服务器上分发，你可以在几分钟内检查整个密码空间”。

这起攻击与反复召开的会议有关，这意味着一旦密码被破解，坏演员就可以进入正在进行的会议。

研究人员还发现，即使是安排好的会议，也可以重复同样的过程，这些会议可以选择使用更长的字母数字变量来覆盖默认密码，并针对前1000万个密码列表运行密码，以强制登录。

另外，在使用web客户端登录过程中发现了一个问题，该客户端使用临时重定向来寻求客户对其服务条款和隐私政策的同意。

安东尼说：“在这一步中发送了一个CSRF HTTP头，但如果你忽略了它，那么请求似乎仍然可以正常工作”。“CSRF令牌上的故障使其比其他情况下更容易被滥用，但修复它并不能提供太多的保护来抵御这种攻击。”

根据调查结果，Zoom在4月2日将该web客户端脱机以缓解问题，一周后发布了修复程序。

在冠状病毒大流行期间，随着视频会议平台的使用率飙升，该平台引发了一系列安全问题的审查。随着缺陷被发现，该平台迅速修补了缺陷，甚至宣布暂停发布新功能90天，以“更好地主动识别、解决和修复问题”

就在本月早些时候，该公司解决了其Windows应用程序中的一个零日漏洞，该漏洞可能允许攻击者在受害者运行Windows 7或更高版本的计算机上执行任意代码。

它还修复了一个单独的漏洞，该漏洞可能允许攻击者模仿一个组织，并通过社会工程攻击诱骗其员工或业务合作伙伴泄露个人或其他机密信息。