Un chercheur en sécurité a découvert une faille dans Zoom sur macOS qui pourrait permettre aux attaquants d’obtenir un accès root et de contrôler l’ensemble du système d’exploitation et le problème n’a pas encore été entièrement corrigé.
Patrick Wardle, un chercheur en sécurité chevronné qui a travaillé pour la NSA, a partagé ses découvertes lors d’une présentation à la conférence Defcon à Las Vegas vendredi. L’attaque s’appuie sur le programme d’installation de Zoom pour macOS, qui nécessite des autorisations spéciales pour pouvoir installer ou désinstaller Zoom sur MacOS. Plus précisément, Wardle a découvert que le programme d’installation possède une fonction de mise à jour automatique qui continue de fonctionner en arrière-plan avec des privilèges élevés.
Chaque fois que Zoom publiait une mise à jour de sa plate-forme de vidéoconférence, le programme d’installation automatique installait la mise à jour après avoir vérifié qu’elle était légitime. Cependant, une faille dans la méthode de vérification cryptographique permettait à un attaquant de faire croire à la mise à jour qu’un fichier malveillant était signé par Zoom.
Étant donné que le dispositif de mise à jour fonctionne avec les privilèges d’un super-utilisateur, Wardle a découvert qu’un attaquant pouvait exécuter n’importe quel programme par le biais de la fonction de mise à jour et obtenir ces privilèges. Et Zoom a laissé cette faille exister pendant des mois.
« Pour moi, c’était un peu problématique, car non seulement j’ai signalé les bogues à Zoom, mais j’ai également signalé les erreurs et la façon de corriger le code« , a déclaré Wardle. « C’était donc vraiment frustrant d’attendre, quoi, six, sept, huit mois, en sachant que toutes les versions Mac de Zoom étaient assises sur les ordinateurs des utilisateurs, vulnérables.«
En tant qu’attaque par élévation de privilèges, la faille pourrait permettre aux attaquants d’obtenir les privilèges « root » ou « superutilisateur » sur MacOS. En théorie, cela pourrait leur permettre d’ajouter, de supprimer ou de modifier n’importe quel fichier sur la machine.
Bien que Zoom ait publié un premier correctif quelques semaines avant l’événement, Wardle a déclaré que la mise à jour contenait un autre Bug qui aurait pu permettre aux attaquants de continuer à exploiter la faille. Il a rapidement divulgué le second bogue et a attendu huit mois avant de publier ses recherches.
Quelques mois avant la conférence Defcon, en août, Wardle affirme que Zoom a publié un autre patch qui corrigeait les Bugs qu’il avait initialement découverts. Cependant, ce dernier patch contient encore des erreurs qui pourraient permettre aux attaquants d’exploiter la faille.
Le deuxième bogue est actuellement toujours actif dans la dernière mise à jour de Zoom. Il est apparemment facile à corriger, et Wardle espère que le fait d’en parler publiquement à la Defcon incitera Zoom à publier rapidement un correctif.