Zoom adalah salah satu aplikasi video konferensi yang paling populer saat ini, terutama di tengah pandemi COVID-19 yang memaksa banyak orang untuk bekerja dan belajar dari rumah. Namun, aplikasi ini juga memiliki sejarah panjang masalah keamanan yang dapat membahayakan privasi dan keamanan penggunanya.
.
Salah satu masalah keamanan yang baru-baru ini terungkap adalah kerentanan Zoom Room yang kritis yang memungkinkan penyerang untuk mengakses ruang Zoom tanpa izin. Zoom Room adalah fitur yang memungkinkan pengguna untuk membuat dan bergabung dengan ruang Zoom yang tetap, yang dapat dihubungkan dengan perangkat keras seperti layar, kamera, mikrofon, dan speaker.
Salah satu masalah keamanan yang baru-baru ini terungkap adalah kerentanan Zoom Room yang kritis yang memungkinkan penyerang untuk mengakses ruang Zoom tanpa izin. Zoom Room adalah fitur yang memungkinkan pengguna untuk membuat dan bergabung dengan ruang Zoom yang tetap, yang dapat dihubungkan dengan perangkat keras seperti layar, kamera, mikrofon, dan speaker.
.
Kerentanan ini ditemukan oleh tim peneliti dari Computest, sebuah perusahaan keamanan siber asal Belanda, yang berhasil menunjukkan serangan eksekusi kode jarak jauh (RCE) tanpa interaksi pengguna. Serangan ini menggunakan rangkaian tiga bug yang memanfaatkan fitur Zoom Chat, yang merupakan bagian dari aplikasi Zoom.
Kerentanan ini ditemukan oleh tim peneliti dari Computest, sebuah perusahaan keamanan siber asal Belanda, yang berhasil menunjukkan serangan eksekusi kode jarak jauh (RCE) tanpa interaksi pengguna. Serangan ini menggunakan rangkaian tiga bug yang memanfaatkan fitur Zoom Chat, yang merupakan bagian dari aplikasi Zoom.
.
Tim peneliti menemukan bahwa dengan mengirimkan pesan khusus ke Zoom Chat, mereka dapat memicu bug pertama yang memungkinkan mereka untuk mengambil alih sesi Zoom Chat pengguna. Dengan sesi Zoom Chat yang dikendalikan, mereka dapat mengirimkan pesan lain yang memicu bug kedua yang memungkinkan mereka untuk mengambil alih sesi Zoom Room pengguna. Dengan sesi Zoom Room yang dikendalikan, mereka dapat mengirimkan pesan ketiga yang memicu bug ketiga yang memungkinkan mereka untuk mengeksekusi kode jarak jauh pada mesin target.
Tim peneliti menemukan bahwa dengan mengirimkan pesan khusus ke Zoom Chat, mereka dapat memicu bug pertama yang memungkinkan mereka untuk mengambil alih sesi Zoom Chat pengguna. Dengan sesi Zoom Chat yang dikendalikan, mereka dapat mengirimkan pesan lain yang memicu bug kedua yang memungkinkan mereka untuk mengambil alih sesi Zoom Room pengguna. Dengan sesi Zoom Room yang dikendalikan, mereka dapat mengirimkan pesan ketiga yang memicu bug ketiga yang memungkinkan mereka untuk mengeksekusi kode jarak jauh pada mesin target.
.
Serangan ini dapat digunakan untuk melakukan berbagai aksi jahat, seperti mengintip percakapan rahasia, merekam video dan audio, menginstal malware, mencuri data, dan lain-lain. Serangan ini juga dapat menyebar secara otomatis ke semua kontak Zoom pengguna yang terinfeksi, sehingga berpotensi menciptakan rantai infeksi yang besar.
Serangan ini dapat digunakan untuk melakukan berbagai aksi jahat, seperti mengintip percakapan rahasia, merekam video dan audio, menginstal malware, mencuri data, dan lain-lain. Serangan ini juga dapat menyebar secara otomatis ke semua kontak Zoom pengguna yang terinfeksi, sehingga berpotensi menciptakan rantai infeksi yang besar.
.
Tim peneliti mengungkapkan kerentanan ini dalam kontes Pwn2Own, yang diselenggarakan oleh Zero Day Initiative, sebuah program yang bertujuan untuk mendorong penemuan bug di perangkat lunak dan layanan populer. Kontes ini memberikan hadiah uang tunai bagi peneliti yang berhasil menemukan dan mengeksploitasi bug yang belum diketahui sebelumnya. Tim peneliti dari Computest mendapatkan hadiah sebesar $200.000 untuk penemuan mereka.
Tim peneliti mengungkapkan kerentanan ini dalam kontes Pwn2Own, yang diselenggarakan oleh Zero Day Initiative, sebuah program yang bertujuan untuk mendorong penemuan bug di perangkat lunak dan layanan populer. Kontes ini memberikan hadiah uang tunai bagi peneliti yang berhasil menemukan dan mengeksploitasi bug yang belum diketahui sebelumnya. Tim peneliti dari Computest mendapatkan hadiah sebesar $200.000 untuk penemuan mereka.
.
Zoom mengucapkan terima kasih kepada tim peneliti dan mengatakan bahwa perusahaan sedang berusaha untuk memitigasi masalah ini sehubungan dengan Zoom Chat. Zoom juga mengatakan bahwa serangan ini harus berasal dari kontak eksternal yang diterima atau bagian dari akun organisasi yang sama dengan target. Zoom merekomendasikan bahwa semua pengguna hanya menerima permintaan kontak dari orang-orang yang mereka kenal dan percayai.
Zoom mengucapkan terima kasih kepada tim peneliti dan mengatakan bahwa perusahaan sedang berusaha untuk memitigasi masalah ini sehubungan dengan Zoom Chat. Zoom juga mengatakan bahwa serangan ini harus berasal dari kontak eksternal yang diterima atau bagian dari akun organisasi yang sama dengan target. Zoom merekomendasikan bahwa semua pengguna hanya menerima permintaan kontak dari orang-orang yang mereka kenal dan percayai.
.
Vendor memiliki jendela waktu 90 hari, yang merupakan praktik standar dalam program pengungkapan kerentanan, untuk menyelesaikan masalah keamanan yang ditemukan. Pengguna akhir hanya perlu menunggu patch yang dikeluarkan - tetapi jika khawatir, mereka dapat menggunakan versi browser sementara.
sumber
gambar
Vendor memiliki jendela waktu 90 hari, yang merupakan praktik standar dalam program pengungkapan kerentanan, untuk menyelesaikan masalah keamanan yang ditemukan. Pengguna akhir hanya perlu menunggu patch yang dikeluarkan - tetapi jika khawatir, mereka dapat menggunakan versi browser sementara.
sumber
gambar
