Een kwetsbaarheid in het berichtenprotocol XMPP in Zoom kan ervoor zorgen dat hackers op afstand kwaadaardige code kunnen uitvoeren. Dit ontdekte een onderzoeker van Google Project Zero.

Volgens de onderzoeker maakt de kwetsbaarheid in Zoom Client for Meetings het mogelijk het XMPP-protocol te misbruiken om systemen binnen te dringen en kwaadaardige code uit te rollen. Hiervoor hoeven hackers alleen berichten via de chat-functionaliteit binnen Zoom met het betreffende protocol te verzenden.

Aanvalspad

Wanneer via de chatfunctionaliteit speciaal aangepaste berichten worden verstuurd, is het mogelijk de aangevallen clients met een man-in-the-middle server te verbinden. Deze server biedt een oude versie van de Zoom-client uit 2019 als een ‘update’ die ook speciaal is geprepareerd. Slachtoffers checken vaak niet of de gebruikte versie de laatste update is, waarna zij openstaan voor een remote code execution-aanval.

De onderzoeker ontdekte ook een kwetsbaarheid voor spoofing in Zoom. Dit door user session cookies naar een niet-Zoom domein te sturen.

Update beschikbaar

Windows wordt in het bijzonder getroffen door de kwetsbaarheid, maar ook Android, iOS, Linux en macOS worden getroffen. Zoom biedt inmiddels een oplossing. Gebruikers wordt aangeraden te upgraden naar de nieuwste versie van het videovergaderplatform.

Tip: Google ziet in 2021 meer zero-day kwetsbaarheden in internetbrowsers