Les vulnérabilités de Zoom pourraient permettre aux pirates de prendre le contrôle de votre ordinateur portable
Deux hackers éthiques ont pu exploiter les vulnérabilités zero-day dans Agrandir Client Desktop Messenger pour exécuter du code arbitraire sur l’appareil d’une victime.
Daan Keuper et Thijs Alkemade de CompuTest Security ont montré leurs exploits dans le concours de piratage Pwn2Own en cours et ont reçu une prime de 200 000 $ auparavant. Vidéo conférence Prestations de service.
Commentant l’exploit, Keuper a déclaré que si les failles précédentes de Zoom permettaient aux attaquants d’infiltrer les appels, leur exploit était plus dangereux car il permettait aux attaquants de prendre le contrôle de l’ensemble du système.
Nous examinons comment nos lecteurs utiliseront le VPN pour un prochain rapport détaillé. Nous aimerions connaître votre opinion dans le sondage ci-dessous. Cela ne devrait pas prendre plus de 60 secondes de votre temps.
>> Cliquez ici pour démarrer l’enquête dans une nouvelle fenêtre<
Détournement de systèmes distants
Les pirates éthiques ont restreint trois vulnérabilités dans Zoom Messenger pour créer leurs exploits.
Plus inquiétant encore, ils ont pu prendre le contrôle du système distant exécutant le client Zoom sans aucune intervention de la victime; L’exploitation n’exige pas que la victime clique sur des liens ou ouvre des pièces jointes.
Une fois réussi, le duo avait un contrôle presque complet sur l’ordinateur distant. Ils ont montré plusieurs actions comme changer de fichier webcam Microphone, regarder le bureau, lire les e-mails, télécharger l’historique du navigateur de la victime.
Pwn2Own est une conférence de sécurité populaire où des pirates éthiques démontrent les vulnérabilités zero-day dans les appareils et applications populaires. Compte tenu de la hauteur Collaboration à distance Outils, les organisateurs de la conférence ont ajouté un fichier Communications d’entreprise Classe cette année.
Ailleurs dans la conférence, un autre hacker éthique a piraté Microsoft Teams, à nouveau en exploitant un ensemble de vulnérabilités pour exécuter du code arbitraire, et a pris une prime de bogue de 200 000 $ de Microsoft.