تنبيه خطأ Zoom: تسمح ثغرة تطبيق Zoom هذه للقراصنة باختطاف اجتماع عملك (03.19.24)

دائمًا ما تكون مؤتمرات الفيديو الخاصة بالعمل خالية من الأحداث ، حيث يقدم أحد الأطراف ، ويستمع الكثيرون إليه ويستمعون إليه (أو يضحكون على أصغر الأشياء) ، ويتسبب البعض في انقطاع الصوت في نهايته. ولكن هناك نوعًا مختلفًا من الإثارة التي لا تريد أن تحدث لك أثناء اجتماعات العمل عبر الإنترنت: استيلاء خطأ على Zoom.

تخيل هذا: طرف غير مصرح له (دعنا نطلق عليه اسم المتسلل) يتولى زمام الأمور من شاشتك أثناء اجتماع Zoom ثم يرسل رسائل بذيئة وغير مناسبة إلى الحاضرين الآخرين. كانت هذه مشكلة حديثة لـ Zoom مع ثغرة أمنية جديدة في تطبيق سطح المكتب لخدمة الدردشة المرئية.

والخبر السار ، مع ذلك ، هو أن Zoom نجح بالفعل في تصحيح هذا الخطأ الخطير في مؤتمرات الفيديو.

Zoom Bug: التفاصيل السيئة

اكتشف الباحث في الأمن السيبراني David Wells من Tenable هذا الاكتشاف في تطبيق Zoom لسطح المكتب ، ووصفه بأنه شيء يسمح للمهاجمين بالتحكم في شاشة المستخدم المطمئن وإرسال رسائل الدردشة نيابة عنه أو عنها. أدى الهجوم أيضًا إلى إخراج الأشخاص من غرفة الفيديو!

تضمنت المشكلة حزم UDP ، وهي اختراق مألوف لأجهزة إنترنت الأشياء (IoT). باستخدام خطأ Zoom هذا ، فإن أي أمر تم اعتراض تطبيقات Windows و Mac و Linux تم اعتراضه يعتبر حرفيًا. وهذا يعني أن المهاجم يمكنه إرسال الشفرة الملوثة ولديه الحرية لفعل كل شيء ، من الانضمام إلى المكالمة الخاصة إلى طرد المشاركين الآخرين منها.

"يسمح هذا للمهاجم بصياغة وإرسال جيوب UPD التي يتم تفسيرها على أنها رسائل تمت معالجتها من قناة TCP الموثوقة التي تستخدمها خوادم Zoom المعتمدة "، أوضحت مدونة Tenable.

سمحت ثغرة تطبيق Zoom للمهاجم أو الحاضرين المحتالين بما يلي:

  • عناصر التحكم في شاشة الاختراق ، والتي تتجاوز الأذونات وتتيح للمهاجم إرسال ضغطات المفاتيح وحركات الماوس من أجل التحكم الكامل في سطح المكتب.
  • رسائل الدردشة المزيفة ، الذي ينتحل صفة المستخدمين الشرعيين في المكالمة.
  • طرد الحاضرين من المكالمة حتى بدون مقابلة المضيف.
  • كما هو موضح في المنشور ، ظهر الخلل بسبب التحقق غير الصحيح من الرسالة. كيان ضار يحتاج ببساطة إلى معرفة عنوان IP لخادم Zoom لاستغلال الثغرة الأمنية الأخيرة.

    كان لدى عميل Zoom لثغرة انتحال رسائل الاجتماعات الرمز الرسمي CVE-2018-15715. لقد أثرت على الإصدارات التالية:

    • Windows 10 ، Zoom 4.1.33259.0925
    • macOS 10.13 ، Zoom 4.1.33259.0925
    • Ubuntu 14.04 ، Zoom 2.4. 129780.0915
    Zoom's Swift Action

    تصرفت Zoom ، التي لديها حوالي 750.000 شركة تستخدم خدماتها ، على الفور بعد أن أبلغت Wells عن الخطأ. قامت بتصحيح خادمها من أجل حماية المستخدمين من أي هجوم محتمل.

    بالإضافة إلى ذلك ، أصدرت تحديثات لتطبيقات Windows و Mac و Linux لإصلاح المشكلة بشكل أكبر. أحدث إصدارات التطبيق هي 4.1.34814.1119 لنظام التشغيل Windows و 4.1.34801.1116 لنظام التشغيل Mac OS. على الرغم من ذلك ، سيتعين على المستخدمين تحديث بياناتهم يدويًا للحماية من الاختراق في منتصف المكالمة.

    تلتزم Zoom بالحفاظ على معلوماتك آمنة من خلال التشفير عند تسجيل الدخول من خلال موقعها أو برامجه أو تطبيقه . ولكن إليك بعض النصائح الإضافية للحصول على تجربة Zoom آمنة:

  • لا تخزن كلمات المرور مطلقًا في نص عادي ، مما يفتح فرصًا للبرامج الضارة للوصول إلى ملفاتك.
  • عند مناقشة موضوعات حساسة أثناء الاجتماع ، استخدم كلمة مرور الغرفة لحظر المشاركين "المفاجئين" غير المرغوب فيهم. طبقة الحماية هذه مفيدة بشكل خاص لغرف الاجتماعات الدائمة التي قد يعرفها أصحاب العمل السابقون.
  • احتفظ بإشعار "الانضمام قبل المضيف" أو قم بتعطيل "الانضمام قبل المضيف" إذا كنت تفضل عدم دخول أي شخص إلى غرفة الاجتماعات بدونك أولاً.
  • تخزين تسجيلات Zoom بشكل صحيح. احذر من أنه إذا كنت تخزنها على السحابة ، فقد يقتحم أحدهم الخدمة ويتمتع بإمكانية الوصول إلى التسجيلات. لذلك بدلاً من الاعتماد على مزود تخزين تابع لجهة خارجية ، قد يكون من الأفضل تشفير الملفات بنفسك على نظامك وتخزينها بالطريقة المفضلة لديك.
  • حافظ على نظافة الكمبيوتر وتحسينه للحصول على أفضل أداء. يمكن لأداة موثوقة لإصلاح الكمبيوتر الشخصي من جهة خارجية تشخيص نظام Windows ، وتنظيف الملفات غير المهمة دفعة واحدة ، وتحديد مشكلات السرعة والاستقرار الحاسمة.
  • Final Notes

    إن الثغرة الأمنية في تطبيق Zoom التي تم اكتشافها وتم الكشف عنها مؤخرًا تعرض اجتماعات العمل للخطر من خلال تعطيل المؤتمرات واختطاف عناصر التحكم في الشاشة وانتحال رسائل الدردشة وإلغاء المكالمة. عالج المشكلة بسرعة من خلال تصحيح الخادم وإصدار التحديثات لتطبيقات Windows و Mac و Linux.

    هل تأثرت بهذا الخطأ الأخير في Zoom؟ أخبرنا عن تجربتك!


    فيديو يوتيوب: تنبيه خطأ Zoom: تسمح ثغرة تطبيق Zoom هذه للقراصنة باختطاف اجتماع عملك

    03, 2024