ZOOM Vanity URL安全漏洞通告
发布时间 2020-07-210x00 漏洞概述
|
CVE ID |
暂无 |
时 间 |
2020-07-21 |
|
类 型 |
|
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
0x01 漏洞详情
随着COVID-19的发展,越来越多的公司、政府和学校采用远程办公,Zoom的使用量从2019年12月每天1000万的会议参与者猛增到2020年4月每天3亿多,包括“Zoom”的新域名的注册量也爆炸性增长,这表明攻击者将Zoom域名作为诱饵来诱骗受害者,同时还出现了冒充Zoom安装程序的恶意软件。
近日,Check Point的研究人员在Zoom Vanity URL中发现了一个漏洞,公司可以使用Vanity URL创建Zoom邀请链接的自定义版本,攻击者可利用该漏洞进行网络钓鱼攻击。
研究人员表示,URL实际上指向攻击者注册的子域,攻击者旨在诱使受害者提交个人凭据或其他敏感信息。有两种方法可以进入会议,会议ID或通过公司自定义Web界面,两种攻击方式如下:
通过会议ID攻击:
更改邀请URL,例如https://zoom.us/j/###########,改成https://<公司名称> .zoom.us/j/###########;
此外,还可以将链接从/j/更改为/s/,https://<公司名称>.Zoom.us/s/7470812100。
通过Zoom Web界面攻击:
另一种方法是使用公司专用子域Web UI,如图所示:
当用户进入网站并单击“Join”按钮时,将显示以下屏幕:
用户在此输入会议ID并加入Zoom会话。攻击者可以通过诈骗网站诱使受害者加入会话,但受害者并不知道该邀请是否来自合法请求。
0x02 处置建议
目前厂商已发布补丁,下载链接:
https://zoom.us/
0x03 相关新闻
https://securityaffairs.co/wordpress/106120/hacking/zooms-vanity-url-flaw.html?utm_source=rss&utm_medium=rss&utm_campaign=zooms-vanity-url-flaw
0x04 参考链接
https://blog.checkpoint.com/2020/07/16/fixing-the-zoom-vanity-clause-check-point-and-zoom-collaborate-to-fix-vanity-url-issue/
0x05 时间线
2020-07-21 VSRC发布漏洞通告
京公网安备11010802024551号