Aplikasi konferensi video populer, Zoom, telah mengatasi beberapa kerentanan keamanan, dua di antaranya memengaruhi aplikasi untuk Linux-nya yang dapat memungkinkan penyerang dengan akses ke sistem yang disusupi untuk membaca dan mengekstrak data pengguna Zoom, dan bahkan menjalankan malware tersembunyi sebagai sub-proses dari sebuah aplikasi tepercaya.
Menurut peneliti keamanan siber Mazin Ahmed, yang mempresentasikan temuannya di DEF CON 28 kemarin, Zoom juga membiarkan contoh pengembangan yang salah konfigurasi tidak diperbarui sejak September 2019, menunjukkan server bisa rentan terhadap kelemahan yang dibiarkan tidak perbaiki.
Setelah Ahmed secara pribadi melaporkan masalah tersebut ke Zoom pada bulan April dan selanjutnya pada bulan Juli, Zoom mengeluarkan perbaikan pada 3 Agustus dalam versi 5.2.4.
Perlu dicatat bahwa agar beberapa serangan ini terjadi, penyerang harus sudah menyusupi perangkat korban, tapi itu tidak menghilangkan pentingnya kerentanan ini.
Dalam satu skenario, Ahmed menemukan masalah dengan Zoom Launcher untuk Linux yang dapat memungkinkan penyerang untuk menjalankan perangkat lunak yang tidak sah karena caranya meluncurkan “Zoom” yang dapat dieksekusi.
“Ini merusak semua perlindungan whitelist aplikasi, memungkinkan malware berjalan sebagai subproses dari vendor tepercaya (Zoom), dan merupakan praktik desain/keamanan yang buruk,” kata Ahmed.
Bukan itu saja, dalam nada yang sama, penyerang yang sudah memiliki akses ke mesin korban dapat membaca serta mengekstrak data dan konfigurasi pengguna Zoom dengan menavigasi ke basis data lokal dan bahkan mengakses pesan obrolan yang disimpan di sistem dalam format teks biasa.
Dua kerentanan lainnya melibatkan layanan otentikasi Kerberos yang dapat diakses secara eksternal (“ca01[.]idm[.]meetzoom[.]us”) dan masalah TLS/SSL yang memungkinkan malware memasukkan sidik jari sertifikat khusus ke dalam basis data Zoom lokal.
“Ini sesuai dengan sertifikat pengguna yang disematkan dan memungkinkan pengguna untuk mengizinkan sertifikat khusus,” kata Zoom tentang kerentanan injeksi sertifikat. “Pengguna dapat menulis ke basis data mereka sendiri, tetapi tidak untuk pengguna non-root lainnya. Praktik terbaik yang umum adalah menjalankan aplikasi pengguna pada tingkat hak istimewa masing-masing, karena mengharuskan Zoom untuk dijalankan sebagai root akan menimbulkan risiko keamanan yang tidak perlu untuk Zoom.”
Baca Juga: “Noctilucent, Alat Baru Yang Hadirkan Kembali ‘Domain Fronting’ Sebagai ‘Domain Hiding’“
Ahmed juga menyoroti kerentanan memory leak dengan memanfaatkan fitur gambar profil di Zoom untuk mengunggah gambar GIF berbahaya, mengunduh file yang dirender, dan mengekstrak data darinya untuk membocorkan bagian memori sistem.
“Setelah penyelidikan internal, kami telah menyimpulkan bahwa perilaku tersebut bukanlah kebocoran memori tetapi hanya upaya terbaik utilitas gambar kami untuk mengubah format gif yang salah menjadi jpeg,” kata Zoom.
Meskipun Ahmed yakin ini adalah konsekuensi dari kelemahan yang diketahui dalam perangkat lunak pengonversi gambar ImageMagick (CVE-2017-15277), Zoom mengatakan tidak menggunakan utilitas untuk mengonversi GIF yang diunggah sebagai gambar profil ke dalam format JPEG.
Menanggapi pengungkapan kerentanan tersebut, Zoom telah menghapus server otentikasi Kerberos yang terekspos untuk mencegah serangan brute-force, sementara juga mengakui bahwa itu bekerja untuk mengatasi kurangnya enkripsi dalam menyimpan log obrolan.
Sangat disarankan agar pengguna memperbarui Zoom ke versi terbaru untuk mengurangi risiko yang timbul dari masalah ini.
