Le service populaire de vidéoconférence Zoom a résolu pas moins de quatre vulnérabilités de sécurité, qui pouvaient être exploitées pour compromettre un autre utilisateur lors d’un chat en envoyant des messages XMPP (Extensible Messaging and Presence Protocol) spécialement conçus et exécuter du code malveillant.
De CVE-2022-22784 à CVE-2022-22787, les problèmes ont un degré de gravité compris entre 5,9 et 8,1. C’est Ivan Fratric, du projet Zero de Google, qui a découvert et signalé les quatre failles en février 2022. La liste des CVE est la suivante :
- CVE-2022-22784 (score CVSS : 8.1) – Parsage XML incorrect dans le client Zoom pour les réunions.
- CVE-2022-22785 (score CVSS : 5.9) – Contrainte inadéquate des cookies de session dans Zoom Client for Meetings.
- CVE-2022-22786 (score CVSS : 7.5) – Déclassement du paquet de mise à jour dans Zoom Client for Meetings for Windows
- CVE-2022-22787 (score CVSS : 5.9) – Validation insuffisante du nom d’hôte lors du changement de serveur dans Zoom Client for Meetings
La fonctionnalité de chat de Zoom étant basée sur la norme XMPP, une exploitation réussie de ces problèmes pourrait permettre à un attaquant de forcer un client vulnérable à se faire passer pour un utilisateur Zoom, à se connecter à un serveur malveillant, voire à télécharger une mise à jour malveillante, ce qui entraînerait une exécution de code arbitraire résultant d’une attaque par déclassement.
Fratric a qualifié la séquence d’attaque de type « zéro-clic » de « XMPP Stanza Smuggling« , ajoutant qu' »un utilisateur pourrait être en mesure d’usurper des messages comme s’ils provenaient d’un autre utilisateur » et qu' »un attaquant peut envoyer des messages de contrôle qui seront acceptés comme s’ils provenaient du serveur ».
Au fond, les problèmes profitent des incohérences d’analyse entre les analyseurs XML du client et du serveur de Zoom pour « faire passer » des stances XMPP arbitraires – une unité de base de communication dans XMPP – au client victime.
Plus précisément, la chaîne d’exploitation peut être utilisée pour détourner le mécanisme de mise à jour du logiciel et faire en sorte que le client se connecte à un serveur de type « man-in-the-middle » qui sert une ancienne version, moins sécurisée, du client Zoom.
Alors que l’attaque par rétrogradation ne concerne que la version Windows de l’application, CVE-2022-22784, CVE-2022-22785 et CVE-2022-22787 ont un impact sur Android, iOS, Linux, macOS et Windows.
Ces correctifs arrivent moins d’un mois après que Zoom ait corrigé deux failles de haute gravité (CVE-2022-22782 et CVE-2022-22783) qui pouvaient conduire à une élévation locale des privilèges et à l’exposition du contenu de la mémoire dans ses services de réunion sur site. Un autre cas d’attaque par déclassement (CVE-2022-22781) dans l’application macOS de Zoom a également été corrigé. Il est recommandé aux utilisateurs de l’application de procéder à une mise à jour vers la dernière version (5.10.0) pour atténuer toute menace potentielle découlant de l’exploitation active des failles.
merci sympa le partage