Os clientes desktop e VDI do Zoom, bem como o Meeting SDK para Windows, estão vulneráveis a um defeito de validação de entrada imprópria que poderia permitir a um invasor não autenticado conduzir elevação de privilégios no sistema alvo pela rede.
O Zoom é um popular serviço de videoconferência baseado em nuvem para reuniões corporativas, aulas educativas, interações/encontros sociais e muito mais.
Oferece compartilhamento de tela, gravação de reuniões, fundos personalizados, chat durante a reunião e várias funcionalidades voltadas à produtividade.
A popularidade do software aumentou durante a pandemia de COVID-19 quando muitas organizações recorreram a soluções remotas para manter as operações e a continuidade dos negócios.
Em abril de 2020, atingiu o pico de 300 milhões de participantes diários de reuniões.
O defeito recentemente divulgado é rastreado como
CVE-2024-24691
e foi descoberto pela equipe de segurança ofensiva do Zoom, recebendo uma pontuação CVSS v3.1 de 9.6, classificando-o como "crítico".
A vulnerabilidade impacta as seguintes versões do produto:
Cliente Desktop Zoom para Windows antes da versão 5.16.5
Cliente VDI Zoom para Windows antes da versão 5.16.10 (exceto 5.14.14 e 5.15.12)
Cliente Zoom Rooms para Windows antes da versão 5.17.0
Zoom Meeting SDK para Windows antes da versão 5.16.5
A breve descrição do defeito não especifica como poderia ser explorado ou quais poderiam ser as repercussões, mas o vetor CVSS indica que requer alguma interação do usuário.
Isso poderia envolver clicar em um link, abrir um anexo de mensagem, ou realizar alguma outra ação que o invasor poderia aproveitar para explorar o
CVE-2024-24691
.
Para a maioria das pessoas, o Zoom deve automaticamente solicitar aos usuários a atualização para a versão mais recente.
No entanto, você pode baixar e instalar manualmente o lançamento mais recente do cliente desktop para Windows, versão 5.17.7, a partir daqui.
Além do defeito de validação de entrada imprópria, o lançamento mais recente do Zoom também aborda as seis vulnerabilidades a seguir:
CVE-2024-24697
: Um problema de alta gravidade nos clientes Windows de 32 bits do Zoom permite a elevação de privilégios através do acesso local explorando um caminho de pesquisa não confiável.
CVE-2024-24696
: Uma vulnerabilidade no chat durante a reunião nos clientes Windows do Zoom causada por uma validação de entrada imprópria permite a divulgação de informações pela rede.
CVE-2024-24695
: Semelhante ao
CVE-2024-24696
, a validação de entrada imprópria nos clientes Windows do Zoom permite a divulgação de informações pela rede.
CVE-2024-24699
: Um erro de lógica de negócio no recurso de chat durante a reunião do Zoom pode levar à divulgação de informações pela rede.
CVE-2024-24690
: Vulnerabilidade em alguns clientes do Zoom causada por validação de entrada imprópria pode acionar uma negação de serviço pela rede.
CVE-2024-24698
: Imperfeição de autenticação imprópria em alguns clientes do Zoom permite a divulgação de informações através do acesso local por usuários privilegiados.
Os usuários do Zoom devem aplicar a atualização de segurança o mais rápido possível para mitigar a probabilidade de atores externos aumentarem seus privilégios a um nível que lhes permita roubar dados sensíveis, interromper ou bisbilhotar reuniões, e instalar backdoors.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...