Zoom : le creux sécuritaire concernant l'accès branlant des réunions privées !

Une fois n'est pas coutume, à défaut de faire les gros titres dans les nouveautés ou annonces, c'est malheureusement au détour d'une vulnérabilité sécuritaire que l'on retrouve Zoom, la plate-forme communautaire de travail permettant de partager un espace de communication par texte ou vidéo. Dernière actualité en date : la possibilité d’accéder à une réunion privée en tentant sa chance (illimitée...) via la combinaison de 6 chiffres.

 

 

 

C'est ce que relate Tom Anthony au sein d'un billet détaillé, datant du 29 Juillet dernier : c'est suite à un tweet du Premier Ministre du Royaume-Uni partageant sur twitter son excitation au sujet d'une réunion professionnelle (cabinet) numérique, au 31 Mars 2020, que Tom Anthony a pu constater un fait pour le moins étrange, selon lui. Dans la capture-écran, on voit un membre nommé "iPhone" qui a volontairement désactivé sa caméra et son micro. Même si cela peut être légitime (peut-être un membre qui doit assister à la réunion pour des besoins logistique ou autres mais qui ne peut ou ne veut, tout simplement, pas être vu... on pense notamment à ceux et celles prenant des notes, surtout dans ces conférences : d'ailleurs trois autres personnes avaient totalement masqués les accès dans ce sens), le chercheur a voulu en savoir plus.

Après bon nombre de probabilités au niveau du mot de passe (en brut force : pas de limite de "test" du genre...) qui pouvait être numérique ou alpha-numérique, sous couvert de deux requêtes (HTTP) par tentative, pour accélérer la procédure, le chercheur a mis en place "un Python qui demande un lot de GUID puis génère plusieurs fils d’exécution (threads) afin qu'il puisse exécuter des demandes en parallèle" ; résultat : en moins de 30 minutes, 43 164 combinaisons sont ainsi éprouvées soit "25 mots de passe par seconde", indique Tom Anthony. Celui-ci va plus loin dans la réflexion en supposant qu'avec 4 à 5 serveurs Cloud dédiés, l'ensemble peut être passé au peigne fin en "quelques minutes". L'attaque, souligne t-il, ne peut fonctionner de la sorte uniquement lorsque la réunion ainsi ciblée à été entamé ou, selon le contexte, planifié. Dans la finalité, la recherche illimitée d'un mot de passe pour accéder à une réunion combinée à une faiblesse du jeton CSRF (identifiant unique d'accès qui se dévoile dans le duo de requêtes-HTTP lors de la soumission du mot de passe) remette à nouveau le débat sécuritaire au centre, concernant le logiciel ou application Zoom.

Bien évidemment, Zoom indique que le problème est sous bonne gérance et le découvreur de la faille fut invité à signaler cette dernière dans leur programme de bug bounty : après réflexions et comme la faille avait été discrètement patchée au détour d'un autre fil sécuritaire, côté Zoom, Tom Anthony n'a pas jugé utile de demander l'intégration de cette faille dans le bug bounty dédié, tout en priorisant, avant tout, le devoir de divulgation publique en bonne et due forme via un respect de l'embargo sécuritaire (au moins 90 jours, ce qui a été largement fait, depuis le 1er Avril, date de mise en lumière de cette vulnérabilité)... A veiller !

 

 

Source : Blog Tom Anthony - 29 Juillet 2020 - Zoom : réunions privées accessibles via une attaque brute-force des mots de passe + jeton CSRF défaillant.