首頁 > 安全研究 > 安全通報 > 安全通告

ZOOM Vanity URL安全漏洞通告

發布時間 2020-07-21

0x00 漏洞概述


CVE   ID

暫無

   

2020-07-21

  

   

高危

遠程利用

影響范圍


0x01 漏洞詳情



隨著COVID-19的發展,越來越多的公司、政府和學校采用遠程辦公,Zoom的使用量從2019年12月每天1000萬的會議參與者猛增到2020年4月每天3億多,包括“Zoom”的新域名的注冊量也爆炸性增長,這表明攻擊者將Zoom域名作為誘餌來誘騙受害者,同時還出現了冒充Zoom安裝程序的惡意軟件。

近日,Check Point的研究人員在Zoom Vanity URL中發現了一個漏洞,公司可以使用Vanity URL創建Zoom邀請鏈接的自定義版本,攻擊者可利用該漏洞進行網絡釣魚攻擊。

研究人員表示,URL實際上指向攻擊者注冊的子域,攻擊者旨在誘使受害者提交個人憑據或其他敏感信息。有兩種方法可以進入會議,會議ID或通過公司自定義Web界面,兩種攻擊方式如下:

通過會議ID攻擊:

? 更改邀請URL,例如https://zoom.us/j/###########,改成https://<公司名稱> .zoom.us/j/###########;

? 此外,還可以將鏈接從/j/更改為/s/,https://<公司名稱>.Zoom.us/s/7470812100。

通過Zoom Web界面攻擊:

另一種方法是使用公司專用子域Web UI,如圖所示:




當用戶進入網站并單擊“Join”按鈕時,將顯示以下屏幕:




用戶在此輸入會議ID并加入Zoom會話。攻擊者可以通過詐騙網站誘使受害者加入會話,但受害者并不知道該邀請是否來自合法請求。


0x02 處置建議


目前廠商已發布補丁,下載鏈接:

https://zoom.us/


0x03 相關新聞


https://securityaffairs.co/wordpress/106120/hacking/zooms-vanity-url-flaw.html?utm_source=rss&utm_medium=rss&utm_campaign=zooms-vanity-url-flaw


0x04 參考鏈接


https://blog.checkpoint.com/2020/07/16/fixing-the-zoom-vanity-clause-check-point-and-zoom-collaborate-to-fix-vanity-url-issue/


0x05 時間線


2020-07-21 VSRC發布漏洞通告








上一篇 下一篇