“Tout ce que vous faites est de nommer votre paquet d’une certaine manière, puis vous pouvez contourner complètement leurs vérifications cryptographiques”, explique Wardle.
Dans la deuxième vulnérabilité, Wardle a découvert que, bien que Zoom ait créé une vérification pour confirmer qu’une mise à jour livrée était une nouvelle version, il pouvait contourner cela s’il proposait un logiciel qui avait passé la vérification de signature directement à une faille dans la façon dont l’application de mise à jour logiciels reçus à distribuer. Wardle a découvert qu’en utilisant un outil Zoom connu sous le nom de updater.app, qui facilite la distribution réelle des mises à jour de Zoom, il pouvait inciter le distributeur à accepter une ancienne version vulnérable de Zoom à la place, après quoi un attaquant pourrait exploiter d’anciennes failles pour obtenir un contrôle total.
“Nous avons déjà résolu ces problèmes de sécurité”, a déclaré un porte-parole de Zoom à WIRED dans un communiqué. “Comme toujours, nous recommandons aux utilisateurs de se tenir au courant de la dernière version de Zoom… Zoom propose également des mises à jour automatiques pour aider les utilisateurs à rester sur la dernière version.”
Lors de son discours à DefCon, cependant, Wardle a annoncé une autre vulnérabilité Mac qu’il a découverte dans le programme d’installation lui-même. Zoom effectue désormais sa vérification de signature en toute sécurité, et la société a saisi l’opportunité d’attaque de rétrogradation. Mais Wardle a remarqué qu’il y a un moment après que le programme d’installation a vérifié le package logiciel, mais avant que le package ne l’installe, lorsqu’un attaquant peut injecter son propre logiciel malveillant dans la mise à jour Zoom, en conservant tous les privilèges et en vérifiant que la mise à jour possède déjà. Dans des circonstances normales, un attaquant ne pourrait saisir cette opportunité que lorsqu’un utilisateur installe de toute façon une mise à jour de Zoom, mais Wardle a trouvé un moyen de tromper Zoom pour qu’il réinstalle sa propre version actuelle. L’attaquant peut alors avoir autant d’opportunités qu’il le souhaite d’essayer d’insérer son code malveillant et d’obtenir l’accès root du programme d’installation de la mise à jour automatique de Zoom à l’appareil victime.
“La principale raison pour laquelle j’ai regardé cela est que Zoom fonctionne sur mon propre ordinateur”, explique Wardle. « Il y a toujours un compromis potentiel entre convivialité et sécurité, et il est important que les utilisateurs installent les mises à jour à coup sûr. Mais si cela ouvre cette large surface d’attaque qui pourrait être exploitée, c’est loin d’être idéal.
Pour exploiter l’une de ces failles, un attaquant devrait déjà avoir un pied initial dans l’appareil d’une cible, vous n’êtes donc pas en danger imminent d’avoir votre Zoom attaqué à distance. Mais les découvertes de Wardle sont un rappel important pour continuer à mettre à jour, automatiquement ou non.
Mise à jour du lundi 15 août 2022 à 14 h 10 HE : Le lendemain de la conférence de Wardle, Zoom a publié un correctif pour la faille qu’il a révélée à DefCon. “Un utilisateur local à faibles privilèges pourrait exploiter cette vulnérabilité pour élever ses privilèges à root”, a écrit la société dans son avis.
