Zoom résout (toujours) une vulnérabilité qui permettait des attaques de phishing

Pas un jour ne passe (presque) sans une nouvelle vulnérabilité de sécurité de Zoom, la plateforme de messagerie vidéo et de téléprésence qui s’est répandue ces derniers mois où la distanciation et le verrouillage en ont fait les maîtres. C’est Zoom lui-même qui communique qu’il a résolu une vulnérabilité qui aurait pu permettre à un attaquant d’usurper l’identité de comptes d’entreprise légitimes pour effectuer des actions de phishing et intercepter les informations d’identification des utilisateurs, voler des données et propager des infections de logiciels malveillants.

Le problème était identifié par la société de sécurité informatique Check Point et communiquée à Zoom: la fonction “Vanity URL”, qui permet aux entreprises de créer des liens personnalisés pour des réunions virtuelles, comme nomeazienda.zoom.us, souffrait d’une faille de sécurité qui permettait de falsifier les invitations sans que la victime ne soit pourrait le remarquer.


Interface Zoom d’entreprise personnalisée – Source: Check Point

Un attaquant aurait pu créer un lien standard vers la réunion, tel que https://zoom.us/j/union et simplement appliquer n’importe quel sous-domaine personnalisé de toute organisation légitime au début de l’URL (tel que companyname.zoom .us / j / meeting), et la réunion virtuelle aurait toujours été accessible.

“Sans une formation appropriée sur la façon de reconnaître l’URL appropriée, un utilisateur qui reçoit une telle invitation peut ne pas reconnaître qu’elle n’est pas authentique ou émise par une organisation réelle. En utilisant ces méthodes, un pirate pourrait tenter d’usurper l’identité d’un employé de organisation légitime et demander à un transporteur de voler des informations d’identification ou des informations sensibles “, expliquent les chercheurs de Check Point. Mais les risques ne s’arrêtent pas là: cette vulnérabilité aurait également rendu possible des scénarios d’espionnage ou de sabotage d’entreprise, par exemple en incitant les employés d’une entreprise à participer à une réunion où des informations incorrectes et trompeuses sont partagées, ou des processus incorrects à cet effet. nuire à l’entreprise.


Écran de zoom pour assister à une réunion – Source: Check Point

“Un utilisateur peut saisir n’importe quel ID de réunion sur cet écran, qu’il ait été planifié par un employé de l’organisation ou participer à la session Zoom correspondante. Un attaquant aurait pu inviter la victime à rejoindre la session via le site Web dédié et la victime n’aurait eu aucun moyen de savoir que l’invitation n’était pas émise par l’organisation légitime », soulignent les chercheurs.

Zoom, après les rapports de Check Point, a résolu les problèmes mais actuellement il n’est pas possible de savoir s’ils ont été effectivement exploités pour mener des actions au détriment des entreprises ou des utilisateurs.

.