Peneliti keamanan dari Cisco Talos kali ini mengungkapkan bahwa mereka menemukan dua kerentanan kritis dalam perangkat lunak Zoom yang dapat memungkinkan penyerang meretas ke dalam sistem peserta obrolan grup atau penerima individu dari jarak jauh.
Kedua kerentanan tersebut merupakan kerentanan path traversal yang dapat dieksploitasi untuk menulis atau menanam file arbitrer pada sistem yang menjalankan versi rentan dari perangkat lunak konferensi video Zoom untuk mengeksekusi kode berbahaya.
Menurut peneliti, eksploitasi kedua kerentanan tersebut hanya memerlukan sedikit atau bahkan tidak memerlukan interaksi dari peserta obrolan yang ditargetkan dan dapat dieksekusi hanya dengan mengirimkan pesan yang dibuat khusus melalui fitur obrolan kepada individu atau kelompok.
Kerentanan keamanan pertama (CVE-2020-6109) berada dalam cara Zoom memanfaatkan layanan Giphy (yang baru-baru ini diakuisi oleh Facebook) untuk memungkinkan para penggunanya mencari dan bertukar animasi GIF saat mengobrol.
Para peneliti menemukan bahwa aplikasi Zoom tidak memeriksa apakah GIF yang dibagikan dimuat dari layanan Giphy atau tidak, memungkinkan penyerang untuk menanamkan GIF dari server yang dikendalikan penyerang pihak ketiga.
Disamping itu, karena aplikasi Zoom juga tidak membersihkan nama file, itu bisa memungkinkan penyerang untuk mencapai directory traversal, menipu aplikasi untuk menyimpan file berbahaya yang disamarkan sebagai GIF ke lokasi mana pun pada sistem korban, misalnya di folder startup.
Baca Juga: “Eksploitasi 0-Day Aplikasi Zoom Dijual Seharga $500,000“
Kerentanan kedua yaitu remote-code-execution (CVE-2020-6110), berada dalam cara aplikasi Zoom yang rentan memproses cuplikan kode yang dibagikan dalam obrolan.
“Fungsionalitas obrolan Zoom dibangun di atas standar XMPP dengan ekstensi tambahan untuk mendukung pengalaman pengguna. Salah satu ekstensi tersebut mendukung fitur termasuk cuplikan kode sumber yang memiliki dukungan sintaksis penuh. Fitur untuk mengirim cuplikan kode memerlukan instalasi dari plugin tambahan tetapi untuk menerimanya tidak diperlukan. Fitur ini diimplementasikan sebagai perpanjangan dari dukungan berbagi file,” kata para peneliti.
Fitur ini membuat arsip zip dari cuplikan kode yang dibagikan sebelum mengirim dan kemudian secara otomatis diekstrak pada sistem penerima.
Menurut para peneliti, fitur ekstraksi file zip Zoom tidak memvalidasi isi konten file zip sebelum mengekstraksi, memungkinkan penyerang untuk menanam biner arbitrer pada komputer yang ditargetkan.
“Selain itu, masalah path traversal parsial memungkinkan file zip yang dibuat khusus untuk menulis file di luar direktori yang dibuat secara acak,” kata para peneliti.
Peneliti Cisco Talos menguji kedua kerentanan kritis ini pada versi 4.6.10 dari aplikasi Zoom dan secara bertanggung jawab melaporkannya kepada pihak Zoom.
