Zoom解決了可用于操縱會(huì)議ID的安全性問(wèn)題

Zoom和Check Point的研究人員共同努力，確定Zoom的可自定義URL功能中的安全問(wèn)題。如果保持原樣，此問(wèn)題將允許黑客通過(guò)在Zoom上冒充潛在受害者組織的雇員來(lái)操縱會(huì)議ID，從而為黑客提供了竊取憑據(jù)和敏感信息的媒介。

Zoom解釋說(shuō)，虛榮URL是公司的自定義URL，例如yourcompany.zoom.us，如果要打開(kāi)SSO（Sing Sign On），則需要該虛榮URL進(jìn)行配置。

用戶還可以使用自定義徽標(biāo)/品牌為該虛榮頁(yè)面添加品牌，通常您的最終用戶無(wú)法訪問(wèn)該虛榮頁(yè)面-他們只需單擊鏈接即可在此處加入會(huì)議。

可以通過(guò)兩種方式利用已修復(fù)的安全問(wèn)題Zoom和Check Point。一個(gè)，黑客可以通過(guò)直接鏈接進(jìn)行定位來(lái)操縱Vanity URL。設(shè)置會(huì)議時(shí)，黑客可能已將URL邀請(qǐng)更改為包括他們選擇的注冊(cè)子域。例如，如果原始鏈接為https://zoom.us/j/###########，則攻擊者可以將其更改為https：// 《組織名稱》 .zoom.us / j / ##########。

如果沒(méi)有有關(guān)如何識(shí)別適當(dāng)URL的特殊網(wǎng)絡(luò)安全培訓(xùn)，則收到此邀請(qǐng)的普通用戶將無(wú)法識(shí)別該邀請(qǐng)不是真實(shí)的，還是不是來(lái)自實(shí)際組織或真實(shí)組織的。

利用此安全問(wèn)題的第二種方法是針對(duì)專用的Zoom接口。一些組織有自己的會(huì)議縮放界面。黑客可能會(huì)以該界面為目標(biāo)，并試圖重定向用戶以將會(huì)議ID輸入到惡意的Vanity URL中，而不是真正的Zoom界面。同樣，與直接鏈接一樣，如果沒(méi)有適當(dāng)?shù)呐嘤?xùn)，大多數(shù)人將無(wú)法從真實(shí)的URL中識(shí)別出惡意URL。

黑客首先將自己介紹為公司的合法雇員，然后從組織的Vanity URL向相關(guān)用戶發(fā)送邀請(qǐng)以獲取信譽(yù)。最終，當(dāng)用戶使用惡意URL時(shí)，黑客可以竊取憑據(jù)和敏感信息。