Nội dung
Những hỗn loạn đến từ các tiết lộ liên quan đến lỗ hổng riêng tư tồn tại trong phần mềm hội nghị video Zoom kể từ đầu tuần trước cho tới nay vẫn chưa có dấu hiệu giảm nhiệt.
Vấn đề cốt lõi xảy ra khi một máy chủ web được cài đặt cục bộbởi phần mềm Zoom không chỉ cho phép website bật camera của thiết bị mà còn chophép các hacker nắm quyền kiểm soát hoàn toàn đối với máy tính Mac của ngườidùng từ xa.
Hai lỗ hổng tồn tại trong phần mềm hội nghị video Zoom
Được biết, nền tảng cuộc họp Zoom dựa trên đám mây (cloud-basedZoom meeting platform) dành cho macOS cũng đã được tìm thấy chứa một lỗ hổngnghiêm trọng khác (CVE-2019-13567) có thể cho phép kẻ tấn công từ xa thựcthi mã tùy ý trên hệ thống được nhắm mục tiêu chỉ bằng cách thuyết phục ngườidùng truy cập vào một trang web độc hại được thiết kế giống như một trang weban toàn.
Lỗ hổng mới được đề cập gần đây nằm trong ứng dụng hội nghị Zoom là một lỗ hổng nghiêm trọng (CVE-2019-13450) nằm trong cách thức ứng dụng triển khai tính năng click-to-join (nhấp để tham gia) cho phép tự động bật webcam của người dùng khi họ truy cập một liên kết mời (invite link).
Cả hai lỗ hổng kể trên đều xuất phát từ một máy chủ web cụcbộ gây tranh cãi – chạy trên cổng 19421 mà Zoom client cài đặt trên máy tính củangười dùng để cung cấp tính năng “clik-to-join”.
Các vấn đề gây ra bởi lỗ hổng bảo mật
Nhà nghiên cứu bảo mật Jonathan Leitschuh nhấn mạnh 2 vấn đềchủ yếu bao gồm (1) máy chủ cục bộ “không an toàn” nhận lệnh quaHTTP, cho phép mọi trang web tương tác với nó và (2) máy chủ này không bị gỡcài đặt khi người dùng gỡ bỏ ứng dụng Zoom Client khỏi hệ thống, dẫn tới nguy cơngười dùng sẽ phải đối mặt với những hiểm họa từ lỗ hổng này mãi mãi.
Sau khi liên tục nhận được những chỉ trích mạnh mẽ từ nhiều bên,phía công ty đã phát hành bản cập nhật khẩn cấp cho phần mềm của mình để loại bỏhoàn toàn việc triển khai máy chủ web chứa lỗ hổng (ZoomOpener daemon).
Tuy nhiên, bản cập nhật phần mềm không thể bảo vệ nhữngkhách hàng cũ hiện không còn sử dụng ứng dụng Zoom nhưng đã từng vô tình kíchhoạt máy chủ web trên hệ thống của họ khi tải về và cài đặt trước đây.
Đáng lo ngại, theo một tư vấn bảo mật được công bố bởi Cơ sở dữ liệu lỗ hổng quốc gia (NVD), lỗ hổng RCE mới được phát hiện vẫn có khả năng tấn công những người dùng đã gỡ cài đặt phần mềm hội nghị Zoom nhưng máy chủ web của nó vẫn được kích hoạt và lắng nghe trên cổng 19421.
Apple âm thầm phát hành bản vá bảo mật
Trong khi đó, để bảo vệ người dùng tránh khỏi các tác động của lỗ hổng, Apple mới đây đã âm thầm phát hành một bản cập nhật cho tất cả người dùng macOS theo đó hệ thống sẽ tự động xóa bỏ máy chủ web Zoom mà không yêu cầu bất kỳ tương tác nào từ người dùng bất kể người đó có đang còn sử dụng ứng dụng hội nghị Zoom trên thiết bị của mình nữa hay không.
Hiện chi tiết kỹ thuật của lỗ hổng RCE mới trong Zoom client cho macOS hiện vẫn chưc được công bố nhưng Jonathan và các nhà nghiên cứu khác đã xác nhận và mô phỏng sự tồn tại của một khai thác PoC hoạt động như trong video trên.
Nhằm tránh khỏi các tác động của hai lỗ hổng bảo mật mới, người dùng Zoom được khuyến nghị cài đặt các bản cập nhật hệ thống mới nhất cũng như nâng cấp ngay lập tức lên phiên bản Zoom client 4.4.53932.0709 hoặc đơn giản là gỡ bỏ ứng dụng và chỉ sử dụng phiên bản trình duyệt client meeting.
THN