A Zoom, uma das plataformas mais populares de videoconferência, enfrentou recentemente uma ameaça de segurança significativa que poderia ter exposto os usuários a violações de dados e acesso não autorizado. Pesquisadores de segurança cibernética da AppOmni descobriram uma vulnerabilidade no Zoom Rooms, um recurso projetado para facilitar a colaboração entre membros da equipe em diferentes locais físicos.
A falha, identificada em junho de 2023, girava em torno da forma como o Zoom Rooms criava contas de serviço para reuniões e quadros brancos. Quando um Zoom Room é iniciado, a plataforma gera automaticamente uma conta de serviço associada ao e-mail do usuário.
O problema surgiu porque o Zoom segue um padrão previsível na atribuição de endereços de e-mail a essas contas de serviço, normalmente no formato de salas_
Os pesquisadores exploraram a previsibilidade do endereço de e-mail atribuído
Explorando esse padrão, os pesquisadores conseguiram criar uma caixa de entrada de e-mail válida para uma Zoom Room. Eles se inscreveram no Zoom e receberam um link de ativação na caixa de entrada. Após a ativação, o Zoom inadvertidamente registrou os pesquisadores no locatário do Zoom da vítima como conta de serviço. Isso concedeu aos pesquisadores o status de membro da equipe, permitindo a movimentação lateral entre o inquilino.
Como o Zoom Rooms geralmente começa com duas licenças, a exploração proporcionou aos pesquisadores visibilidade de todos os usuários de uma organização. Eles poderiam sequestrar reuniões como organizadores, acessar todos os quadros brancos e coletar informações confidenciais, representando um grave risco de segurança.
O único requisito para executar este ataque era o conhecimento do endereço de e-mail da vítima. Dada a prevalência de violações de e-mail, esta informação é relativamente acessível. Além disso, o TechRadar relata que pessoas mal-intencionadas dentro da mesma Zoom Room também podem explorar a vulnerabilidade, levantando preocupações sobre o potencial de acesso não autorizado e roubo de dados.
Zoom agiu prontamente para resolver a ameaça à segurança
A AppOmni relatou prontamente suas descobertas ao Zoom, levando a empresa de videoconferência a tomar medidas imediatas. Em resposta, o Zoom emitiu rapidamente uma correção, eliminando a capacidade de criar contas no Zoom Room.
Em resumo, os esforços colaborativos dos investigadores em segurança cibernética e a resposta rápida do Zoom evitaram uma potencial ameaça à segurança.