Новости Уязвимость в Zoom позволяла идентифицировать сотрудников компаний

  • Автор темы evrenur
  • Дата начала
  • Ответы 0
  • Просмотры 58

evrenur

PR
Команда форума
Модератор

evrenur

PR
Команда форума
Модератор

Специалисты из компании Cisco Talos
Пожалуйста , Вход или Регистрация чтобы увидеть ссылку!
уязвимость в сервисе для видеоконференций Zoom. Ее эксплуатация позволяет злоумышленнику идентифицировать всех зарегистрированных пользователей Zoom внутри определенной организации.

Как сообщили исследователи, уязвимость затрагивает функцию в решении для видеоконференций, позволяющую находить контакты внутри организации. Поскольку чат Zoom основан на стандарте XMPP, клиент может отправить XMPP-запрос с указанием имени группы, которое в данном случае является доменом электронной почты для регистрации.

Уязвимость возникает из-за отсутствия проверки связи пользователя с запрашиваемым доменом. Таким образом злоумышленники могут запрашивать списки контактов произвольных доменов регистрации.

Для эксплуатации уязвимости злоумышленнику необходимо авторизоваться в учетной записи Zoom и затем отправить специально сформированное XMPP-сообщение, чтобы получить список пользователей, связанных с целевым доменом. В ответ на запрос сервер Zoom предоставит атакующему каталог пользователей, связанных с этим доменом.

«Это включает в себя такие подробности, как автоматически сгенерированные логины, а также имена и фамилии пользователей. Данная информация в сочетании с другими XMPP-запросами может быть использована для раскрытия дополнительной контактной информации, включая адрес электронной почты пользователя, номер телефона и любую другую информацию, присутствующей в файле vCard», — отметили эксперты.

По словам специалистов, компания Zoom уже устранила данную проблему.
 
Сверху Снизу