En yaygın kullanılan video konferans platformu Zoom’da potansiyel olarak kullanılabilecek kritik bir güvenlik açığı keşfedildi.
Araştırmacılar güvenlik açığını, farklı konumlardaki takım üyelelerinin Zoom üzerinden birlikte çalışmasına izin vermek amacıyla geliştirilen Zoom odalarında buldular.
Analiz Raporu:
Zoom odası uygulaması, farklı cihazlara (iPad, mobil cihazlar vb.) yüklenerek, Zoom odasındaki kullanıcılara bir tür terminal hizmeti sunmakta.
Bir Zoom odası oluşturulduğunda, toplantılar için lisans içeren bir hizmet hesabı oluşturulur. Bu hesaba Zoom tarafından rooms_@sirket.com biçiminde bir e-posta adresi atanır. Bazı durumlarda, organizasyonlar şirket alan adları yerine Outlook alan adlarını tercih edebilir. Outlook’un genel bir platform olması nedeniyle, herhangi bir kişi e-posta adresi oluşturabilir. Bu hesabı oluşturan kişi saldırganda olabilir..
Bu durum, Zafiyet üzerinden saldırganlara hizmet hesabı ile tam erişim sağlar ve zoom tenant içinde bilgi toplamak için kullanılabilir. Ayrıca hizmet hesabı en az iki lisansa sahiptir ve saldırgan normal bir takım üyesi gibi davranabilir, bu saldırganlara önemli erişim avantajları sağlar. Örneğin kişilere erişim veya toplantıyı ele geçirme gibi.
Zoom’un “Kanallar” adlı yeni özelliği, varsayılan olarak tenant’lara açık olan metin kanallarını içerir. Saldırgan, hizmet hesabına erişim sağladığı için herhangi bir kanalın içeriğini görüntüleme yetkisine sahip olabilir.