ZOOM Vanity URL安全漏洞通告

0x01 漏洞详情
随着COVID-19的发展,越来越多的公司、政府和学校采用远程办公,Zoom的使用量从2019年12月每天1000万的会议参与者猛增到2020年4月每天3亿多,包括“Zoom”的新域名的注册量也爆炸性增长,这表明攻击者将Zoom域名作为诱饵来诱骗受害者,同时还出现了冒充Zoom安装程序的恶意软件。
近日,Check Point的研究人员在Zoom Vanity URL中发现了一个漏洞,公司可以使用Vanity URL创建Zoom邀请链接的自定义版本,攻击者可利用该漏洞进行网络钓鱼攻击。 研究人员表示,URL实际上指向攻击者注册的子域,攻击者旨在诱使受害者提交个人凭据或其他敏感信息。有两种方法可以进入会议,会议ID或通过公司自定义Web界面,两种攻击方式如下: 通过会议ID攻击: 更改邀请URL,例如https://zoom.us/j/###########,改成https://<公司名称> .zoom.us/j/###########;  此外,还可以将链接从/j/更改为/s/,https://<公司名称>.Zoom.us/s/7470812100。 通过Zoom Web界面攻击: 另一种方法是使用公司专用子域Web UI,如图所示:
当用户进入网站并单击“Join”按钮时,将显示以下屏幕:
用户在此输入会议ID并加入Zoom会话。攻击者可以通过诈骗网站诱使受害者加入会话,但受害者并不知道该邀请是否来自合法请求。 0x02 处置建议 目前厂商已发布补丁,下载链接: https://zoom.us/ 0x03 相关新闻
https://securityaffairs.co/wordpress/106120/hacking/zooms-vanity-url-flaw.html?utm_source=rss&utm_medium=rss&utm_campaign=zooms-vanity-url-flaw
0x04 参考链接 https://blog.checkpoint.com/2020/07/16/fixing-the-zoom-vanity-clause-check-point-and-zoom-collaborate-to-fix-vanity-url-issue/
发表评论

评论已关闭。

相关文章