信息化觀察網(wǎng)

攻擊者可以偽裝成公司員工，邀請客戶或合作伙伴參加會議，然后使用社會策劃的對話來提取敏感信息。

目前Zoom已經(jīng)解決了自定義URL功能中以前未公開的漏洞，該漏洞可能為黑客提供了竊取憑據(jù)或敏感信息的理想的社交工程方式。

Zoom和Check Point于周四披露，該安全漏洞存在于Zoom的“自定義URL”功能中，該功能允許公司設(shè)置自己的Zoom會議域，即“yourcompany.zoom.us”。公司可以向頁面添加定制的徽標(biāo)和品牌，最終用戶可以訪問該頁面并單擊該頁面中的會議鏈接到Zoom呼叫。除了設(shè)置它的便利驅(qū)動(dòng)程序外，如果用戶想要打開視頻服務(wù)的單點(diǎn)登錄，配置時(shí)還需要該特性。

為了發(fā)動(dòng)攻擊，網(wǎng)絡(luò)犯罪分子會偽裝成一個(gè)公司的合法雇員，然后表面上從一個(gè)組織的自定義URL向目標(biāo)受害者（客戶、合作伙伴、供應(yīng)商等）發(fā)送會議邀請。但是，攻擊者實(shí)際上將使用邀請URL，該URL包括他們選擇的注冊子域，而不是被欺騙公司的真實(shí)自定義URL。

換句話說，如果原始鏈接是https://zoom.us/j/###########，則攻擊者可以將其更改為https://

發(fā)起攻擊的第二種方法是針對專用的Zoom Web界面，Check Point表示：“有些組織有自己的會議縮放Web界面。黑客可能會針對此類界面，并試圖重定向用戶以將會議ID輸入到惡意的自定義URL中，而不是實(shí)際或真正的Zoom Web界面中。與直接鏈接攻擊一樣，如果沒有經(jīng)過仔細(xì)的網(wǎng)絡(luò)安全培訓(xùn)，此類攻擊的受害者可能無法識別惡意URL，并成為該攻擊的受害者。

最終，攻擊者一旦進(jìn)入會議鏈接，攻擊者可以繼續(xù)以公司員工的身份，通過詢問某些問題或要求發(fā)送材料，繼續(xù)提取憑證和敏感信息，并執(zhí)行其他欺詐行為。

Check Point并未發(fā)布該漏洞的技術(shù)細(xì)節(jié)，但確實(shí)指出“有幾種方法可以進(jìn)入包含子域的會議，包括使用包含會議ID的直接子域鏈接，或者使用組織定制的子域web UI。

Zoom最終修復(fù)了這個(gè)問題，從而關(guān)閉了漏洞利用的途徑。Check Point的研究人員告訴Threatpost，在修復(fù)之前他們并不知道在野外的攻擊。

現(xiàn)在，Zoom已經(jīng)解決了Check Point報(bào)告的問題，并采取了其他保護(hù)措施來保護(hù)其用戶。 Zoom的一名發(fā)言人告訴Threatpost，并補(bǔ)充說該公司并不認(rèn)為該漏洞是零日漏洞。這位人士繼續(xù)說道:“Zoom鼓勵(lì)用戶在參加任何計(jì)劃參加的會議之前，都要仔細(xì)檢查所有細(xì)節(jié)，并且只參加他們信任的用戶參加的會議。

Zoom在分析中指出，視頻會議服務(wù)在大流行之前已經(jīng)很流行，從政府和商務(wù)會議到大學(xué)和學(xué)校課程，再到家庭聚會，這意味著Zoom的使用量已從2019年12月的1000萬每天的會議參與者猛增到2020年4月的3億多。

隨著Zoom變得如此流行，Zoom出現(xiàn)的漏洞越來越多。上周，流行的視頻服務(wù)在Windows的Zoom Client中修復(fù)了一個(gè)零日漏洞，該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。研究人員說，它影響了舊版Windows的用戶，但利用起來卻微不足道。

并且在4月，它解決了Zoom的macOS客戶端版本中發(fā)現(xiàn)的兩個(gè)零時(shí)差漏洞，這些漏洞可能賦予本地?zé)o特權(quán)的攻擊者root特權(quán)，并允許他們訪問受害者的麥克風(fēng)和攝像頭。同樣在4月，在地下論壇上發(fā)現(xiàn)了幾個(gè)新數(shù)據(jù)庫，共享了大量回收的Zoom憑據(jù)庫。

1月份，Zoom發(fā)布了一系列安全修復(fù)程序，后來發(fā)現(xiàn)該公司的平臺使用了弱認(rèn)證，這使得攻擊者有可能參加活躍的會議。問題源于Zoom的會議鏈接配置，默認(rèn)情況下不需要“會議密碼”。

在3月和4月，有黑客劫持在線會議，以傳播仇恨言論，例如種族主義信息，性騷擾和色情圖片威脅，這驅(qū)使會議參與者使他們?nèi)∠麉⒓拥臅h。

與隱私有關(guān)的其他麻煩也困擾著Zoom，年初Zoom取消了一項(xiàng)功能，該功能因未公開數(shù)據(jù)挖掘，而導(dǎo)致用戶姓名和電子郵件地址遭到攻擊，該功能用于將用戶名和電子郵件地址與他們的LinkedIn個(gè)人資料進(jìn)行匹配。

Zoom使用的爆炸性增長與新域名注冊（包括“Zoom”一詞）的出現(xiàn)相匹配，這表明網(wǎng)絡(luò)犯罪分子將Zoom域作為誘餌來誘騙受害者。該公司的安全人員還檢測到了惡意文件，它們冒充了Zoom的安裝程序。

Zoom明白用戶對軟件的安全性和隱私度存在疑慮，他們已經(jīng)成立安全委員會和推出修補(bǔ)程序提升信息安全性能。公司在4月推出90日計(jì)劃去強(qiáng)化軟件安全，從而修補(bǔ)最近幾個(gè)月出現(xiàn)的漏洞。

Zoom也宣布會在視頻通信加入端到端加密技術(shù)，最初會開放給Zoom付費(fèi)用戶使用，而免費(fèi)用戶未來也都能得到上述技術(shù)的保護(hù)。