道德黑客在 Pwn2Own 会议间隙展示了如何利用视频会议应用程序 Zoom 中的三个零日安全漏洞来完全控制远程 PC。 Microsoft Teams 中也发现了严重缺陷。作为 Zoom 和 Microsoft 漏洞赏金计划的一部分,这些发现背后的黑客每人获得了 20 万美元的奖金。
随着冠状病毒大流行,Zoom 应用程序为自己提供了一个令人难以置信的启动平台,成为许多公司组织远程工作的事实上的工具。这突然成为众人瞩目的焦点让 Zoom 成为道德和不道德黑客的热门话题(白色的等黑帽子)。因为这样的穿透力,稍有瑕疵就会造成灾难性的影响。
因此,您不会惊讶地发现 Zoom 和更普遍的视频会议应用程序是在心里2021 年 Pwn2Own,一系列会议,道德黑客在会上展示他们在网络安全方面的最新发现。我们特别有听说过很多关于 Zoom 的事感谢发现白帽子然后 Keuper 和 Thijs Alke 制作了计算机测试安全。
这些专家此前发现三个缺陷零日在应用程序中,当一起使用时,会形成具有潜在非常严重后果的漏洞。在他们的演示中,他们取得了显着的成功几乎完全控制远程计算机受害者无需对机器进行干预——目标 PC 前的用户甚至不需要单击链接或启动程序。
然后黑客就能够通过启动网络摄像头、麦克风、观察桌面、电子邮件和下载浏览器搜索历史记录来展示他们对机器的控制程度。他们的发现受到 Zoom 的欢迎,并授予他们200 000 $作为他们计划的一部分错误赏金。但 Zoom 并不是唯一一个遭受不愉快发现的视频会议应用程序。
另请阅读:Zoom、Skype、Meet – 可以通过肩膀的动作猜测你的密码
黑客还成功利用了严重的安全漏洞在微软团队中。在这种情况下,安全漏洞的组合允许执行任意代码。微软再次感谢研究人员,向他们颁发了一份售价20万美元按照公司的错误发现计划的规定。这些演示对于 Zoom 和 Microsoft 团队来说非常有用,他们应该快速向用户提供安全补丁。
来源 :技术雷达
