Kurangnya tingkat pembatasan upaya password yang berulang memungkinkan penyerang potensial untuk memecahkan kode sandi numerik yang digunakan untuk mengamankan rapat pribadi Zoom, menurut temuan Tom Anthony, VP Product di SearchPilot.
Kerentanan yang dilihatnya dalam aplikasi web Zoom memungkinkan penyerang untuk menebak kata sandi rapat dengan mencoba semua kombinasi sampai menemukan yang benar.
So a few months ago I realised Zoom doesn't rate limit password attempts for meetings, and has only 1 million passwords. Meaning you could join private meetings within minutes. 😮 https://t.co/NDUEmzUprX
— Tom Anthony (@TomAnthonySEO) July 29, 2020
“Ini memungkinkan penyerang untuk mencoba semua kombinasi 1 juta kata sandi dalam hitungan menit dan mendapatkan akses ke rapat pribadi Zoom (yang dilindungi kata sandi) orang lain,” katanya. “Ini juga menimbulkan pertanyaan meresahkan apakah ada orang yang sudah menggunakan kerentanan ini untuk mendengarkan panggilan orang lain atau belum.”
Karena penyerang juga sebenarnya tidak harus melalui percobaan seluruh kombinasi dari daftar 1 juta kata sandi yang mungkin, maka hal ini dapat secara drastis mempersingkat waktu yang diperlukan untuk memecahkannya.
Juga, rapat online berulang – termasuk ID Rapat Pribadi (PMI) – akan selalu memiliki kode sandi yang sama sehingga penyerang hanya perlu memecahkannya sekali dan mendapatkan akses permanen ke sesi mendatang.
Anthony menunjukkan bahwa ia dapat memecahkan kata sandi rapat (termasuk pertemuan terjadwal) dalam waktu 25 menit setelah mencoba 91.000 kombinasi kata sandi menggunakan mesin AWS.
“Dengan peningkatan threading, dan distribusi di 4-5 server cloud, Anda dapat memeriksa seluruh kombinasi daftar kata sandi dalam beberapa menit,” tambahnya.
Baca Juga: “2 Kerentanan Kritis Aplikasi Zoom Memungkinkan Peretasan Hanya Melalui Chat“
Anthony melaporkan masalah ini kepada pihak Zoom pada 1 April 2020, bersama dengan proof-of-concept (PoC) untuk menunjukkan bagaimana penyerang bisa melakukan brute-force ke setiap rapat yang dilindungi kata sandi.
Satu minggu setelah pelaporan, Zoom memperbaiki masalah ini dengan “mengharuskan pengguna login untuk bergabung dengan rapat di aplikasi web, dan memperbarui kata sandi rapat default menjadi non-numerik dan lebih panjang.”
