Zoom已经有其一生中应有尽有的网络安全问题,而视频会议应用程序(和Alex Stamos)花了一段时间(和Alex Stamos)在由于Covid-19的必要工作而意外地流行之后,在安全方面稳定了发展。家庭命令。现在,它似乎仍然保留了一个严重的安全漏洞,该漏洞可能使威胁参与者有意利用此漏洞并进行远程代码执行(RCE)攻击来控制主机PC。该漏洞是由两名Computest网络安全研究人员在由零日倡议组织的近期Pwn2Own竞赛中发现的。
为了使黑客工作,攻击者首先需要与主机PC用户属于同一组织域,或者需要被主机允许加入会议–因此,如果没有其他要求,则可以增加一层安全性。但是,安全和隐私倡导者清楚地知道,社交工程攻击可以很明显地突破障碍,例如假装被盗身份以获取参加私人会议的权限,尽管这完全代表了另一场网络安全辩论。
但是,有了Zoom漏洞,一旦攻击者参加会议,他们就可以执行三个恶意软件中继的链,在目标PC上安装RCE后门。简单来说,攻击者可以访问您的PC,随后可以执行远程命令,从而使他们可以访问您的敏感文件。更令人震惊的是,攻击者可以执行所有这些操作,而无需任何用户执行任何操作,因此取消了可能会减慢此类攻击可能性的附加交互层。
