Allerta Zoom: XMPP Stanza Smuggling, aggiornare subito quell’applicazione

Se tre indizi fanno una prova, quattro vulnerabilità sono i rischi che si corrono non aggiornando Zoom. La nota app californiana, che fornisce servizi di videotelefonia e chat online attraverso una piattaforma software peer-to-peer basata sul cloud, una delle migliori nel suo segmento, potrebbe finire nel mirino degli hacker.

Alcuni bug emersi di recente creano allarme, potrebbero infatti consentire ai cyber criminali di hackerare le vittime, semplicemente inviando loro un messaggio. Il popolare servizio di videoconferenza Zoom ha riscontrato e apparentemente risolto fino a quattro vulnerabilità di sicurezza, che potrebbero essere sfruttate per compromettere un altro utente tramite chat inviando messaggi XMPP (Extensible Messaging and Presence Protocol) appositamente predisposti ed eseguendo codice dannoso.

Tracciati da CVE-2022-22784 a CVE-2022-22787, i problemi di Zoom, delle vere e proprie vulnerabilità, hanno una gravità compresa tra 5,9 e 8,1. Ivan Fratric di Google Project Zero è stato accreditato di aver scoperto e segnalato tutti e quattro i difetti, soltanto lo scorso febbraio.

Zoom, le vulnerabilità riscontrate e tutti i rischi a cui si va incontro

Questo l’elenco dei bug riscontrati su Zoom: CVE-2022-22784 (punteggio CVSS: 8.1), analisi XML non corretta nel client Zoom per riunioni. CVE-2022-22785 (punteggio CVSS: 5,9), cookie di sessione vincolati in modo improprio in Zoom Client for Meetings. CVE-2022-22786 (punteggio CVSS: 7,5), aggiorna il downgrade del pacchetto in Zoom Client for Meetings per Windows. Last but not least CVE-2022-22787 (punteggio CVSS: 5,9), convalida del nome host insufficiente durante il cambio del server in Zoom Client for Meetings.

Con la funzionalità di chat di Zoom basata sullo standard XMPP, lo sfruttamento delle vulnerabilità potrebbe consentire a un utente malintenzionato di costringere un client vulnerabile a mascherare un utente Zoom, connettersi a un server dannoso e persino scaricare un aggiornamento non autorizzato, con conseguente esecuzione di codice arbitrario derivante da un attacco di downgrade.

Fratric ha soprannominato la sequenza di attacco senza clic come un caso di ” XMPP Stanza Smuggling “, aggiungendo “un utente potrebbe essere in grado di falsificare i messaggi come se provenissero da un altro utente” e che “un utente malintenzionato può inviare messaggi di controllo che verranno accettati come se proveniente dal server”.

I problemi sfruttano l’analisi delle incoerenze tra i parser XML nel client e nel server di Zoom per “contrabbandare” stanze XMPP arbitrarie, un’unità di comunicazione di base in XMPP, al client vittima. Insomma, per farla breve, aggiornate quell’applicazione.