Pwn2Own
Pwn2Own是 "零日倡議 "組織的一項高規格活動,挑戰黑客在常用軟件和移動設備中發現新的嚴重漏洞。舉辦該活動的目的是為瞭證明流行的軟件和設備都有缺陷和漏洞,並為漏洞的地下交易提供一個平衡點。
"目標 "自願提供自己的軟件和設備,並對攻擊成功者給予獎勵。粉絲們會看到一場黑客奇觀,成功的黑客會得到嘉獎和不菲的現金(在這種情況下,獎勵高達20萬美元),而廠商們則會找到令人討厭的漏洞。
Pwn2Own 2021從4月6日至4月8日舉行。今年活動的重點是在傢工作(WFH)時使用的軟件和設備,包括Microsoft Teams和Zoom,原因顯而易見。
白帽子
受雇於網絡安全公司Computest的Keuper和Alkemade在Pwn2wn活動的第二天結合三個漏洞接管瞭一個遠程系統。這些漏洞不需要受害者的互動。他們隻需要在一次Zoom通話中。
漏洞
本著負責任的披露態度,該方法的全部細節一直處於保密狀態。我們知道的是,這是遠程代碼執行(RCE)漏洞:作為一類軟件安全漏洞,允許惡意行為者通過局域網、廣域網或互聯網在遠程機器上執行他們選擇的代碼。
該方法在Windows和Mac版本的Zoom軟件上有效,但不影響瀏覽器版本。目前還不清楚iOS-和Android-app是否存在漏洞,因為Keuper和Alkemade並沒有對這些進行研究。
Pwn2Own組織在推特上發佈瞭一張gif圖,展示瞭該漏洞的運行情況。你可以看到攻擊者在運行Zoom的系統上打開計算器。Calc.exe經常被用作黑客在遠程系統上打開的程序,以表明他們可以在受影響的機器上運行代碼。
可以理解的是,Zoom還沒來得及針對該漏洞發佈補丁。他們有90天的時間來發佈該漏洞的細節,但預計他們會在這一時期結束之前完成。研究人員在Pwn2Own活動的第二天就發現瞭這個漏洞,並不意味著他們在這兩天就想通瞭。他們會投入幾個月的研究來尋找不同的漏洞,並將它們組合成RCE攻擊。
安全工作做得好
這個事件,以及圍繞它的程序和協議,很好地展示瞭白帽黑客的工作方式,以及負責任的信息披露意味著什麼。在以補丁的形式為每個人提供現成的保護之前,將細節留給自己(理解為供應商會盡自己的責任,並迅速制作補丁)。
緩解措施
目前,隻有這兩名黑客和Zoom知道這個漏洞的工作原理。隻要保持這樣的狀態,Zoom用戶就沒有什麼好擔心的。對於那些擔心的人來說,據說瀏覽器版本是不會受到這個漏洞的影響的。對於其他的人來說,將需繼續關註補丁,在補丁出來後盡早更新。
4月9日更新
Zoom回應瞭有關Pwn2Own活動的文章。
"我們感謝零日計劃允許我們贊助並參與Pwn2Own溫哥華2021大賽,這是一項突出安全研究人員所做的關鍵性和技能性工作的活動。我們非常重視安全問題,非常感謝Computest的研究。
我們正在努力緩解我們的群組消息產品Zoom Chat的這一問題。Zoom Meetings 和 Zoom Video Webinars 中的會話聊天不受此問題影響。攻擊還必須來自於已接受的外部聯系人,或者是目標的同一組織賬戶的一部分。
作為最佳實踐,Zoom建議所有用戶隻接受來自他們認識和信任的個人的聯系請求。如果您認為自己發現瞭Zoom產品的安全問題,請將詳細的報告發送給我們信任中心的漏洞披露計劃。"
留言列表
