In un post sul blog Ciarán Cotter di AppOmni ha sottolineato che Zoom Rooms, la piattaforma di videoconferenza basata su cloud, presenta una falla già risolta che rappresenterebbe un rischio significativo per la sicurezza, poiché consentirebbe agli attaccanti di prendere il controllo dell’account di servizio di Zoom Room, ottenendo l’accesso non autorizzato al tenant dell’organizzazione vittima. Lo sfruttamento di questa vulnerabilità di Zoom consentirebbe senza alcun invito e furtivamente di prendere il controllo delle riunioni ed estrarre dati sensibili dai canali della Team Chat.
Il problema
Il problema sarebbe collegato al fatto che durante il processo di creazione dell’account del servizio Zoom Rooms, il suo ID veniva ereditato direttamente dall’utente con il ruolo di Proprietario nel tenant al momento della creazione, consentendo così agli aggressori di prevedere gli indirizzi e-mail degli account di servizio, dirottare gli account e raccogliere informazioni sensibili. In pratica con queste informazioni, gli aggressori potevano creare ad esempio un indirizzo email arbitrario secondo la nomenclatura del formato standard prevista da Zoom “room__<account ID>@example[.com” e utilizzarlo per seguire il flusso di registrazione e ricevere il collegamento di attivazione inviato a questo indirizzo e-mail.
“Il problema con questo approccio per la generazione di posta elettronica è che si applica anche ai domini di posta elettronica di grandi provider di posta elettronica. Ad esempio, se il proprietario utilizza un indirizzo di posta elettronica outlook.com , l’indirizzo di posta elettronica della stanza sarà room_ _<account ID> @outlook.com. Poiché chiunque può creare un indirizzo email Outlook arbitrario, possiamo creare una casella di posta elettronica valida per una Zoom Room!“, spiega l’Offensive Security Engineer Cotter.
Mitigazioni
Zoom ha risolto questa vulnerabilità rimuovendo la possibilità di attivare gli account Zoom Room, impedendo così agli autori delle minacce di prevedere il formato di posta elettronica rivendicando l’accesso non autorizzato agli account del servizio Zoom Room. La vulnerabilità Zoom è stata rappresentata dal ricercatore nel giugno 2023 durante l’evento di hacking live di HackerOne H1-4420, a cui anche Zoom ha partecipato. I dettagli sono stati però resi pubblici solo il 28 novembre 2023. Il problema è stato prontamente risolto dal team Zoom e nessun tenant di produzione è stato interessato in alcun modo.
