Pesquisadores de segurança descobriram duas novas vulnerabilidades críticas na ferramenta de videoconferência Zoom. As falhas permitem que um atacante possa comprometer dispositivos através do envio de mensagens especialmente criadas através do chat da ferramenta. Dessa forma, ao conseguir explorar essas novas vulnerabilidades (CVE-2020-6109 e CVE-2020-6110), um atacante pode executar qualquer código malicioso escrevendo ou plantando arquivos arbitrários para realizar modificações no sistema atacado. As falhas foram descobertas pela equipe do Cisco Talos.
No caso da vulnerabilidade CVE-2020-6109, que afeta a versão 4.6.10 do Zoom lançada em 7 de abril, a falha ocorre na forma de processamento de mensagens que incluem GIFs animados através do serviço Giphy, que permite aos usuários procurar e enviar GIFs animados por meio do chat da ferramenta.
Segundo os pesquisadores responsáveis pela descoberta, o problema é que o aplicativo não valida se um GIF enviado provém do Giphy, permitindo que um atacante envie GIFs de outro serviço (sob seu controle) que serão armazenados pelo Zoom em uma pasta dentro do diretório de instalação da ferramenta no sistema da vítima. Dessa forma, o atacante pode induzir o aplicativo a salvar arquivos arbitrários que fazem passar por GIFs fora do diretório de instalação do cliente.
No caso da segunda vulnerabilidade (CVE-2020-6110), que também afeta a versão 4.6.10 do Zoom, o problema ocorre no modo de processamento de mensagens que incluem fragmentos de código (snippets) compartilhados por meio do chat do app, permitindo que um atacante explore a vulnerabilidade através do envio de mensagens especialmente criadas para plantar binários arbitrários, que permitem a execução de código arbitrário, em uma segunda instância, sem a necessidade de interação da vítima.
De acordo com os pesquisadores, a partir da instalação de um complemento, a ferramenta de videoconferência permite que esses fragmentos de código sejam compartilhados e gerem um arquivo zip, mas o receptor do snippet não precisa instalar o complemento para recebê-lo.
Para compartilhar um fragmento de código, um arquivo zip é criado e carregado em um servidor de armazenamento do Zoom e, em seguida, é obtido um ID do arquivo que será usado na hora de enviar uma mensagem ao destinatário, que procurará o arquivo no caminho do armazenamento de dados do Zoom e o armazenará no disco com um nome de arquivo único. O problema é que a ferramenta descomprime o zip baixado automaticamente (sem validá-lo) para permitir a obtenção de um visto do snippet anterior. Dessa forma, um atacante pode plantar binários arbitrários no computador da vítima usando arquivos zip.
Depois que as duas falhas foram reportadas, o Zoom corrigiu as vulnerabilidades em maio e lançou um patch na atualização mais recente publicada em 2 de junho (5.0.5). Por isso, é fundamental atualizar o app para evitar riscos.
Após os vários problemas de segurança relacionados ao Zoom durante os meses de março e abril, a ferramenta de videoconferência, que ganhou popularidade junto com a pandemia, devido principalmente à necessidade de muitas empresas e instituições de ensino continuarem suas atividades remotamente, foi questionada e, em alguns casos, foi até mesmo banida. No entanto, o anúncio da descoberta dessas novas vulnerabilidades críticas ocorre próximo ao comunicado da empresa de que não criptografará as videoconferências de ponta a ponta para usuários que assinam o serviço gratuito, ou seja, que o processo de criptografia ocorrerá apenas para o caso de usuários que contam com planos pagos.