Een beveiligingsonderzoeker heeft twee kwetsbaarheden ontdekt in de software-updatetool voor videogesprekken Zoom voor macOS die root-toegang toestond. Nadat het bedrijf de kwetsbaarheden had gepatcht, ontdekte de man een nieuwe kwetsbaarheid.
Beveiligingsonderzoeker Patrick Wardle deelde zijn bevindingen tijdens het DefCon-hackevenement in Las Vegas. Daar legde hij uit hoe je de handtekeningcontrole van Zoom's automatische updatetool voor macOS kunt omzeilen. Bij een eerste kwetsbaarheid, CVE-2022-28751, hoefden gebruikers alleen de bestandsnaam van een bestand te wijzigen, zodat het dezelfde waarden bevatte als het certificaat waarnaar de updatetool op zoek was. "Je hoeft de software alleen een bepaalde naam te geven en je bent binnen de kortste keren voorbij de cryptografische controle", vertelde de man aan Wired.
Wardle had Zoom eind 2021 geïnformeerd over de kwetsbaarheid en de fix die het bedrijf toen had uitgebracht bevatte volgens Wardle een nieuwe kwetsbaarheid. Hij was in staat om Zoom's updater.app voor macOS een oudere versie van de software voor videogesprekken te laten accepteren, dus begon het die versie te distribueren in plaats van de meest recente versie. Via kwetsbaarheid CVE2022-22781 kregen kwaadwillende partijen ineens de kans om kwetsbaarheden in oudere Zoom-software te misbruiken. Klopt, want Zoom heeft nu de twee kwetsbaarheden hierboven verholpen via een update.
Maar ook daar vond Wardle een kwetsbaarheid, CVE-2022-28756. Volgens de man is het op dit moment mogelijk om na verificatie van een softwarepakket door de Zoom installer wijzigingen in het pakket aan te brengen. Het softwarepakket behoudt zijn lees-schrijfrechten in macOS en kan tussen de cryptografische controle en de installatie nog worden gewijzigd. Zoom reageerde ondertussen op de nieuwe onthullingen van Wardle. Het bedrijf zegt aan een oplossing te werken.