Zoom 远程代码执行0 day漏洞
发布时间 2021-04-120x00 漏洞概述
CVE ID | 时 间 | 2021-04-12 | |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | |
PoC/EXP | 在野利用 |
0x01 漏洞详情
Zoom 是一个简单易用的在线视频会议软件,它提供了视频通信、音频通信、屏幕共享体验以及在线群组聊天功能。
Pwn2Own竞赛是由白帽网络安全专业人员和团队参加,以竞争发现流行软件和服务中的错误的竞赛。
2021年04月07日,两名荷兰白帽安全专家在参加年度计算机黑客大赛Pwn2Own时在Zoom中发现了一个远程代码执行(RCE)漏洞,此漏洞结合了三个漏洞攻击链来控制远程系统,成功利用此漏洞的攻击者能够在LAN、WAN或Internet上的远程计算机上执行代码。此外,该漏洞的利用只需用户进行一次Zoom通话,而无需用户交互。
Pwn2Own组织已经在twitter上发布了该漏洞的gif应用演示,通过在运行Zoom的系统上打开计算器Calc.exe。
影响范围
Windows版Zoom
Mac版Zoom
(iOS及Android目前尚未测试,浏览器版不受影响。)
0x02 处置建议
由于Zoom还没有时间修复此漏洞,因此该漏洞的具体技术细节仍在保密中。目前,只有两名安全专家和Zoom知道该漏洞的工作原理,建议关注Zoom官方发布的安全更新。
下载链接:
https://www.zoom.us/download
0x03 参考链接
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/04/zoom-zero-day-discovery-makes-calls-safer-hackers-200000-richer/
https://www.zdnet.com/article/critical-zoom-vulnerability-triggers-remote-code-execution-without-user-input/#ftag=RSSbaffb68
https://twitter.com/i/status/1379855435730149378
0x04 时间线
2021-04-07 Keuper和Alkemade发现漏洞
2021-04-12 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号