Уязвимость в Zoom позволяла идентифицировать сотрудников компаний

Уязвимость в Zoom позволяла идентифицировать сотрудников компаний

Для эксплуатации уязвимости злоумышленнику необходимо отправить специально сформированное XMPP-сообщение.

Специалисты из компании Cisco Talos обнаружили уязвимость в сервисе для видеоконференций Zoom. Ее эксплуатация позволяет злоумышленнику идентифицировать всех зарегистрированных пользователей Zoom внутри определенной организации.

Как сообщили исследователи, уязвимость затрагивает функцию в решении для видеоконференций, позволяющую находить контакты внутри организации. Поскольку чат Zoom основан на стандарте XMPP, клиент может отправить XMPP-запрос с указанием имени группы, которое в данном случае является доменом электронной почты для регистрации.

Уязвимость возникает из-за отсутствия проверки связи пользователя с запрашиваемым доменом. Таким образом злоумышленники могут запрашивать списки контактов произвольных доменов регистрации.

Для эксплуатации уязвимости злоумышленнику необходимо авторизоваться в учетной записи Zoom и затем отправить специально сформированное XMPP-сообщение, чтобы получить список пользователей, связанных с целевым доменом. В ответ на запрос сервер Zoom предоставит атакующему каталог пользователей, связанных с этим доменом.

«Это включает в себя такие подробности, как автоматически сгенерированные логины, а также имена и фамилии пользователей. Данная информация в сочетании с другими XMPP-запросами может быть использована для раскрытия дополнительной контактной информации, включая адрес электронной почты пользователя, номер телефона и любую другую информацию, присутствующей в файле vCard», — отметили эксперты.

По словам специалистов, компания Zoom уже устранила данную проблему.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!