뉴스를 보고 계셨다면 Zoom의 최신 취약점에 대해 인터넷이 떠들썩하다는 것을 눈치채셨을 것입니다.보안 연구원인 Jonathan Leitschuh가 이 공격을 식별했습니다. 보안 연구원은 취약점을 자세히 설명하고 이번 공격의 재현을 위한 PoC를 제공했습니다. 블로그 포스트.모든 사람이 이 문서를 읽고 회사 정책에 따라 필요한 조치를 취하는 것이 좋습니다.
브라우저는 공격자가 공격을 시작하는 데 가장 중요한 벡터 중 하나이며 앞으로도 그럴 것입니다.수년에 걸쳐 브라우저는 인터넷 브라우징에만 사용되던 것에서 이제는 애플리케이션 및 기타 고급 기술을 실행할 수 있는 플랫폼으로 변모했습니다.공격자들은 플랫폼의 취약점을 지속적으로 평가하고 있습니다.2018년과 2019년 초에는 공격자들이 IE와 Chrome을 전혀 사용하지 않는 것을 목격했습니다. 이제 Zoom의 차례입니다.
취약점은 무엇이며 어떻게 악용됩니까??
취약점은 Zoom이 회의를 시작하는 방식에 있습니다.회의는 로컬 웹 서버와 상호 작용하는 웹 사이트를 통해 시작되며, 이 서버는 데스크톱 애플리케이션을 실행합니다.이렇게 하면 브라우저에 기본 제공되는 모든 샌드박스 기능이 우회됩니다. 사용자가 Zoom 애플리케이션을 설치하면 엔드포인트에 로컬 웹 서버가 설치됩니다.로컬 웹 서버에는 명령을 받아들이는 API가 있습니다.공격자는 localhost에서 실행되는 Zoom 웹 서버에 GET 요청을 발행할 수 있는 악성 웹 사이트를 호스팅할 수 있습니다.그러면 공격자는 다음과 같이 명령을 전달할 수 있습니다.
- 기존 통화에 사용자를 추가하여 웹캠을 감시하세요.
- 기존 통화에 악의적인 사용자를 추가합니다.
- 로컬 호스트에서 실행되는 노출된 웹 서버를 사용하십시오. 이 서버에는 추가 취약점이 있을 수 있습니다.
Menlo는 이 취약점으로부터 어떻게 보호하나요?
사용자가 격리를 통해 악성 웹 사이트에 액세스하면 악성 웹 사이트에서 로드한 모든 리소스가 Menlo 클라우드 브라우저에 의해 사용자 시스템의 localhost와 통신할 수 없는 일회용 가상 컨테이너에 로드됩니다.악성 코드는 엔드포인트에 도달하지 않으며 “img”와 같은 태그로 트리거된 악의적인 GET 요청은 클라이언트 브라우저에서 실행되지 않으므로 악성 사이트가 엔드포인트의 Zoom 웹 서버에 도달하는 것을 방지할 수 있습니다.웹사이트는 보안 컨테이너에 있는 localhost에 요청을 보낼 수 있지만 해당 포트에서 실행 중인 서버를 찾지 못해 이러한 공격을 방지할 수 있습니다. 공격자는 인기 있는 플랫폼을 노립니다.Zoom은 매우 인기 있는 화상 회의 애플리케이션입니다. 보안 연구원이 공개한 PoC가 악의적인 이유로 공격자에 의해 이용되기 시작하더라도 이는 놀라운 일이 아닙니다.Menlo Security의 격리 제품은 이러한 공격으로부터 보호하지만 보안 관리자는 Zoom 앱을 즉시 업데이트하는 것이 좋습니다.
