Pazartesi, Haziran 17, 2024
Ana SayfaTeknoloji HaberleriGeçen hafta düzeltilen Kritik Yakınlaştırma güvenlik açıkları, kullanıcı etkileşimi gerektirmedi

Geçen hafta düzeltilen Kritik Yakınlaştırma güvenlik açıkları, kullanıcı etkileşimi gerektirmedi

Geçen hafta düzeltilen Kritik Yakınlaştırma güvenlik açıkları, kullanıcı etkileşimi gerektirmedi

yakınlaştır

Google’ın Project Zero güvenlik açığı araştırma ekibi, Zoom’un geçen hafta yamaladığı kritik güvenlik açıklarını ayrıntılı olarak açıkladı ve bu, bilgisayar korsanlarının mesajlaşma yazılımını çalıştıran cihazlarda uzaktan kötü amaçlı kod çalıştıran sıfır tıklamalı saldırılar gerçekleştirmesini mümkün kıldı.

CVE-2022-22786 ve CVE-2022-22784 olarak izlenen güvenlik açıkları, kurban istemciyi açmaktan başka bir işlem yapmadığında bile saldırı gerçekleştirmeyi mümkün kıldı. Google Project Zero araştırmacısı Ivan Fratric tarafından Salı günü ayrıntılı olarak açıklandığı üzere, Zoom istemcisi ve Zoom sunucularının XMPP mesajlarını ayrıştırma biçimindeki tutarsızlıklar, bunlarda genellikle engellenecek içeriğin “kaçakçılığını” mümkün kıldı. Fratric, bu kusurları Zoom’un kod imzalama doğrulamasının çalışma biçimindeki bir aksaklıkla birleştirerek tam kod yürütmeyi başardı.

Araştırmacı, “Başarılı bir saldırı için kullanıcı etkileşimi gerekli değil” diye yazdı. “Bir saldırganın ihtiyaç duyduğu tek yetenek, XMPP protokolü üzerinden Zoom sohbeti üzerinden kurbana mesaj gönderebilmektir.” Fratric devam etti:

İlk güvenlik açığı (XMPP Stanza Smuggling etiketli), rastgele XMPP stanzalarını kurban istemciye “sızdırabilmek” için Zoom’un istemcisindeki ve sunucusundaki XML ayrıştırıcıları arasındaki ayrıştırma tutarsızlıklarını kötüye kullanır. Saldırgan, buradan, özel olarak hazırlanmış bir kontrol kıtası göndererek, kurban istemciyi kötü niyetli bir sunucuya bağlanmaya zorlayabilir, böylece bu ilkel bir ortadaki adam saldırısına dönüşebilir. Son olarak, istemci güncelleme isteklerini/yanıtlarını engelleyerek/değiştirerek, kurban istemci kötü niyetli bir güncelleme indirir ve yürütür, bu da rastgele kod yürütülmesine neden olur. Güncelleme yükleyicisinde imza kontrolünü atlamak için bir istemci sürüm düşürme saldırısı kullanılır. Bu saldırı, Windows 64-bit üzerinde çalışan en son (5.9.3) istemciye karşı gösterilmiştir, ancak zincirin bir kısmı veya tamamı büyük olasılıkla diğer platformlara uygulanabilir.

Aralık ayında Zoom, macOS ve Windows istemcilerine otomatik olarak güncelleme yeteneği vererek nihayet 21. yüzyıla katıldı. Geçen hafta giderilen güvenlik açıklarının ciddiyeti, otomatik güncellemenin önemini vurgulamaktadır. Genellikle, bu tür güncellemelerin kullanıma sunulmasından sonraki birkaç saat veya gün içinde, bilgisayar korsanları bunları tersine çevirmiş ve bunları bir istismar yol haritası olarak kullanmıştır. Yine de, Zoom için düzenli olarak kullandığım bilgisayarlardan biri, “Güncellemeleri Kontrol Et” seçeneğini seçmeyi düşündüğümde Çarşamba gününe kadar yamaları henüz yüklememişti.

Zoom istemcimin otomatik olarak güncellenmesi için önce bir ara sürüm çalıştırması gerekiyordu. Manuel olarak güncellediğimde, otomatik güncelleme sonunda gerçekleşti. Okuyucular, en son sürümü de çalıştırdıklarından emin olmak için sistemlerini kontrol etmek isteyebilirler.

RELATED ARTICLES

Popüler Konular