Cisco Talos ekibi tarafından COVID-19 pandemisinin ortaya çıkışının ardından son zamanlarda popüler hale gelen Zoom mesajlaşma uygulaması hakkında 2 kritik güvenlik açığı duyuruldu. Bu açıklık grup veya bireysel mesajlaşmada karşı tarafa uzaktan kontrol imkanı vermektedir. İki açıklık da “Path Traversal” zafiyetini kullanarak Zoom’un güvenlik açığı barındıran yazılımlarına sahip makinelerde dosya yazma veya yerleştirme gibi imkanlar ile saldırgan tarafından zararlı kod çalıştırılmasına olanak sağlamaktadır.
Araştırmacılara göre, her iki zafiyeti de başarıyla uygulayabilmek için, hedeflenen sohbet katılımcılarından hiçbiriyle veya çok azıyla etkileşime girmek yeterli olmaktadır. Yalnızca sohbet özelliği aracılığıyla bir kişiye veya bir gruba özel olarak hazırlanmış mesajlar göndermek yeterli olmaktadır.
Konu hakkında ilk güvenlik açığı (CVE-2020-6109), Zoom’un Facebook’tan yakın zamanda aldığı GIPHY hizmetinden faydalanmaktaydı. Bu hizmet kullanıcıların sohbet ederken animasyonlu GIF’leri aramasına ve değiştirmesine izin vermektedir.
Araştırmacılar, Zoom uygulamasının Giphy hizmetinden paylaşılan bir “GIF”’in yüklenip yüklenmediğini kontrol etmediğini ve saldırgana ait bir sunucudan Gif gömülmesine olanak bulunduğunu görmüşlerdir. Bununla birlikte bulunulan sistemdeki gömülme işlemi Başlangıç (Startup) dosyasına olacak şekilde ayarlanabilmektedir.
İkinci zafiyet (CVE-2020-6110) ise chat esnasında Zoom’a ait kod parçalarının chat içinde açığa çıkması hakkındadır. Zoom’un sohbet işlevi, zengin kullanıcı deneyimini sağlamak için ek uzantılarla birlikte XMPP standardının üzerine inşa edilmiştir. Bu uzantılardan biri, full syntax highlighting desteğine sahip kaynak kodu snippet’lerini ekleme özelliğini desteklemektedir. Kod parçacıkları gönderme özelliği ek bir eklentinin yüklenmesini gerektirmektedir. Bu özellik, dosya paylaşım desteğinin bir uzantısı olarak uygulanmaktadır. Bu özellik, gönderim yapılmadan önce paylaşılan kod snippet’inin zip arşivi oluşturmaktadır. Gönderim ardından alıcının sisteminde otomatik olarak sıkıştırılan dosya açılmaktadır.
Araştırmacılara göre, Zoom’un zip dosyası çıkarma özelliği, zip dosyasının içeriğini çıkarmadan önce doğrulama yapmıyor ve saldırganın hedeflenen bilgisayarlara rastgele binary dosyalar eklemesine izin vermesine olanak sağlıyor.
Söz konusu zafiyet Zoom 4.6.10 versiyonunda tespit edilmiş olup araştırmacılar tarafından Zoom’a bildirilmiştir. Bu zafiyetten etkilenmemek adına Zoom’u en son versiyonuna güncellemenizi öneririz.
https://thehackernews.com/2020/06/zoom-video-software-hacking.html
