Zoom : quand un fichier d'installation vérolé est détourné depuis un lien ! (qui ne provient pas de l'éditeur...)

Tout comme l'expansion de l'Univers ou les trous noirs, selon les - sombres - points de vue, l'éditeur de Zoom essuie, une énième fois de plus, une vulnérabilité sécuritaire assez importante : depuis le logiciel de visioconférence et un simple lien, l'utilisateur pouvait télécharger un fichier d'installation dont la teneur s'avérait redoutable pour le système...

 

 

Selon les mises en lumière de TrendMicro dans un billet du 29 Avril dernier, il s'agissait d'une variation d'un installeur (ciblant également Zoom) repéré le 3 Avril 2020 et qui orientait son attaque sur les porte-feuilles digitaux (crypto-monnaie). Ici, l'éventail a été, malheureusement, plus large : une fois le lien cliqué par l'utilisateur (qui provenait d'un éditeur inconnu...), une porte dérobée s'activait via un code distant dont ce dernier, ainsi déversé, permettait, un accès lecture-écriture et création sur les informations de registres du système, un accès aux captures-écran et à la webcam, une visualisation des informations systèmes (logicielles et matérielles), un enregistrement des touches-clavier et des conversations, un accès total sur les processus (fin de tâche, création, suspension), un contrôle sur les connections et sur les points Wi-Fi voire un contrôle sur le flux streamé.

L'application (qui, depuis, est passée d'une version 4.6 en version - colmatée - 5.0) ainsi détournée se gérait via un outil d'administration distant (RAT : Remote Administration Tool), qui permet de venir à la rescousse de certains utilisateurs mais à distance, pour ainsi prendre la main, par exemple, sur une manipulation que l'utilisateur ne sait pas faire. TrendMicro recommande, bien évidemment (mais cela n'est apparemment pas très clair pour certains usagers de tels logiciels ouvert sur le réseau global...), de ne cliquer que sur des liens fiables ou de ne télécharger des mises à jour de Zoom, en l'occurrence, ne provenant que de Zoom ; le plus simple étant d'aller sur le site officiel de l'éditeur. Autre point : la sécurisation d'une session streamé, en verrouillant son accès pour les seuls personnes légitimement autorisé (soit par l'envoi d'un lien par mail soit par mot de passe, selon les types de logiciels). Enfin et si cela est possible, encourager vivement son employeur à opter pour une autre solution collaborative... A veiller !

 

Source : TrendMicro - 29 Avril 2020 - Zoom : nouvelle vulnérabilité depuis un fichier d'installation vérolé.