易坊好文馆

  1. 首页 > 生活百科 >

安全 白帽黑客成功找到Zoom的远程代码执行漏洞获得20万美元奖励

据外媒报道 , 两位荷兰白帽安全专家参加了一年一度的电脑黑客大赛Pwn2Own , 成功找到了Zoom的远程代码执行(RCE)漏洞 , 并且获得了20万美元的奖励 。

安全 白帽黑客成功找到Zoom的远程代码执行漏洞获得20万美元奖励
文章图片

Pwn2Own
Pwn2Own是 "零日倡议 "组织的一项高规格活动 , 挑战黑客在常用软件和移动设备中发现新的严重漏洞 。举办该活动的目的是为了证明流行的软件和设备都有缺陷和漏洞 , 并为漏洞的地下交易提供一个平衡点 。
"目标 "自愿提供自己的软件和设备 , 并对攻击成功者给予奖励 。粉丝们会看到一场黑客奇观 , 成功的黑客会得到嘉奖和不菲的现金(在这种情况下 , 奖励高达20万美元) , 而厂商们则会找到令人讨厌的漏洞 。
Pwn2Own 2021从4月6日至4月8日举行 。今年活动的重点是在家工作(WFH)时使用的软件和设备 , 包括Microsoft Teams和Zoom , 原因显而易见 。
白帽子
受雇于网络安全公司Computest的Keuper和Alkemade在Pwn2wn活动的第二天结合三个漏洞接管了一个远程系统 。这些漏洞不需要受害者的互动 。他们只需要在一次Zoom通话中 。
漏洞
本着负责任的披露态度 , 该方法的全部细节一直处于保密状态 。我们知道的是 , 这是远程代码执行(RCE)漏洞:作为一类软件安全漏洞 , 允许恶意行为者通过局域网、广域网或互联网在远程机器上执行他们选择的代码 。
该方法在Windows和Mac版本的Zoom软件上有效 , 但不影响浏览器版本 。目前还不清楚iOS-和Android-app是否存在漏洞 , 因为Keuper和Alkemade并没有对这些进行研究 。
Pwn2Own组织在推特上发布了一张gif图 , 展示了该漏洞的运行情况 。你可以看到攻击者在运行Zoom的系统上打开计算器 。Calc.exe经常被用作黑客在远程系统上打开的程序 , 以表明他们可以在受影响的机器上运行代码 。
安全 白帽黑客成功找到Zoom的远程代码执行漏洞获得20万美元奖励
文章图片

安全 白帽黑客成功找到Zoom的远程代码执行漏洞获得20万美元奖励
文章图片

可以理解的是 , Zoom还没来得及针对该漏洞发布补丁 。他们有90天的时间来发布该漏洞的细节 , 但预计他们会在这一时期结束之前完成 。研究人员在Pwn2Own活动的第二天就发现了这个漏洞 , 并不意味着他们在这两天就想通了 。他们会投入几个月的研究来寻找不同的漏洞 , 并将它们组合成RCE攻击 。
安全工作做得好
这个事件 , 以及围绕它的程序和协议 , 很好地展示了白帽黑客的工作方式 , 以及负责任的信息披露意味着什么 。在以补丁的形式为每个人提供现成的保护之前 , 将细节留给自己(理解为供应商会尽自己的责任 , 并迅速制作补丁) 。
缓解措施
目前 , 只有这两名黑客和Zoom知道这个漏洞的工作原理 。只要保持这样的状态 , Zoom用户就没有什么好担心的 。对于那些担心的人来说 , 据说浏览器版本是不会受到这个漏洞的影响的 。对于其他的人来说 , 将需继续关注补丁 , 在补丁出来后尽早更新 。
4月9日更新
【安全|白帽黑客成功找到Zoom的远程代码执行漏洞获得20万美元奖励】Zoom回应了有关Pwn2Own活动的文章 。
"我们感谢零日计划允许我们赞助并参与Pwn2Own温哥华2021大赛 , 这是一项突出安全研究人员所做的关键性和技能性工作的活动 。我们非常重视安全问题 , 非常感谢Computest的研究 。
我们正在努力缓解我们的群组消息产品Zoom Chat的这一问题 。Zoom Meetings 和 Zoom Video Webinars 中的会话聊天不受此问题影响 。攻击还必须来自于已接受的外部联系人 , 或者是目标的同一组织账户的一部分 。
作为最佳实践 , Zoom建议所有用户只接受来自他们认识和信任的个人的联系请求 。如果您认为自己发现了Zoom产品的安全问题 , 请将详细的报告发送给我们信任中心的漏洞披露计划 。"

    推荐阅读


    上一篇:最新消息 国家市场监督管理总局对阿里巴巴集团行政处罚决定书全文

    下一篇:“宇宙爆炸论”惨遭质疑距离地球190光年外发现一颗年龄超过宇宙的恒星