Deux vulnérabilités sur l’application de vidéo conférence Zoom

Zoom est un logiciel de vidéo-conférence, principalement utilisé sur Mac OS. Le chercheur Jonathan Leitschuh a découvert plusieurs vulnérabilités sur le logiciel, pouvant notamment mener à une perte de confidentialité pour l’utilisateur. En effet, à l’aide d’un lien malveillant envoyé à un utilisateur du logiciel, un attaquant pourrait forcer celui-ci à rejoindre une conférence vidéo. L’utilisateur n’aurait pas d’invité de confirmation ou d’action supplémentaire à réaliser pour voir sa caméra s’allumer sur une conférence inconnue.

De plus, une autre vulnérabilité semblable permettrait de bloquer un poste utilisateur, en le forçant à rejoindre en boucle une conférence inexistante.

Simplement désinstaller le logiciel ne suffirait pas dans les deux cas, car un attaquant à distance pourrait forcer la réinstallation de celui-ci.

Jonathan Leitschuh a pris contact avec l’équipe de sécurité de Zoom en Mars 2019 et a attendu 90 jours avant de rendre public ses recherches le 8 Juillet de la même année.

Concernant la vulnérabilité de déni de service, l'application Zoom a été mise à jour en Mai 2019 pour régler le problème. Pour l’activation automatique de la caméra, une mise à jour prévue en Juillet se souviendra des réglages de l’utilisateur lors sa première conférence, concernant le choix ou non d’avoir sa caméra automatiquement activé au démarrage d’une réunion.

Détails techniques :

  • CVE-2019-13450 [CVSS en attente d’évaluation] : Le chercheur Jonathan Leitschuh s’est rendu compte que Zoom installait un serveur web local sur le port 19421 de la machine de l’utilisateur. En envoyant une simple requête GET vers ce serveur sur le port identifié, avec comme arguments l’action « rejoindre » et un numéro de conférence valide, l’application Zoom se lance et tente de rejoindre la conférence. En modifiant certains paramètres lors de la création de la conférence, notamment le paramètre « Participants » de la section « Video », l’utilisateur rejoint la conférence avec sa caméra allumée.
  • CVE-2019-13449 [CVSS en attente d’évaluation] : Concernant la vulnérabilité de déni de service, un script sur une page malveillante tentant de réaliser en boucle des requêtes vers le serveur mentionné précédemment pourrait bloquer le poste de la victime. En effet,  l’application Zoom tente de se fixer au premier plan de la machine pour rejoindre la conférence renseignée, et ce à chaque requête effectuée.

Concernant la désinstallation du logiciel, Jonathan Leitschuh s’est rendu compte qu’une désinstallation standard ne supprime pas le serveur local sur la machine. Ce serveur permet notamment de réinstaller automatiquement l’application si l’utilisateur cherche à rejoindre une conférence.

Informations
+

Risques

  • Impact sur la confidentialité
  • Déni de service

Criticité

  • Score CVSS : en cours d’évaluation

Existence d’un code d’exploitation de la vulnérabilité

  • Une preuve de faisabilité est disponible dans l’article de Jonathan Leitschuh

Composants & versions vulnérables

  • Application Zoom sur Mac OS (les versions Windows et Mobile ne seraient pas impactées)
  • La vulnérabilité de déni de service affecte les versions antérieures à la version 4.4.2

CVE

  • CVE-2019-13449
  • CVE-2019-13450

Recommandations
+

Mise en place de correctif de sécurité

  • La version 4.4.2 de Zoom corrige la vulnérabilité de déni de service

Solution de contournement

  • Pour empêcher le déclenchement automatique de la vidéo lors d’un appel, Zoom recommande de désactiver l’option d’activation automatique de la webcam en rejoignant une conférence dans les options du logiciel.
  • Pour désinstaller complètement le logiciel et empêcher la réinstallation à distance, Jonathan Leitschuh fournit une procédure à la fin de son article.