Zoom masaüstü ve VDI istemcileri ile Windows için Toplantı SDK’sı, kimliği doğrulanmamış bir saldırganın ağ üzerinden hedef sistemde ayrıcalık yükseltme işlemi yapmasına olanak verebilecek uygunsuz bir giriş doğrulama kusuruna karşı savunmasızdır.
Zoom, kurumsal toplantılar, eğitici dersler, sosyal etkileşimler/toplantılar ve daha fazlası için popüler bir bulut tabanlı video konferans hizmetidir. Ekran paylaşımı, toplantı kaydı, özel arka planlar, toplantı içi sohbet ve çeşitli üretkenlik odaklı özellikler sunar.
Yazılımın popülaritesi, birçok kuruluşun operasyonlarını ve iş sürekliliğini sürdürmek için uzaktan çözümlere yöneldiği COVID-19 salgını sırasında arttı. Nisan 2020 itibarıyla günlük 300 milyon toplantı katılımcısıyla zirveye ulaştı.
Yeni açıklanan kusur, CVE-2024-24691 olarak izleniyor ve Zoom’un saldırgan güvenlik ekibi tarafından keşfedildi ve CVSS v3.1’den 9,6 puan alarak “kritik” olarak derecelendirildi.
Güvenlik açığı aşağıdaki ürün sürümlerini etkiler:
- Windows için Zoom Masaüstü İstemcisi 5.16.5 sürümünden önce
- 5.16.10 sürümünden önceki Windows için Zoom VDI İstemcisi (5.14.14 ve 5.15.12 hariç)
- Windows için Zoom Rooms İstemcisi 5.17.0 sürümünden önce
- Windows için Zoom Meeting SDK’sı 5.16.5 sürümünden önce
Kusurun kısa açıklaması, bundan nasıl yararlanılabileceğini veya sonuçlarının ne olabileceğini belirtmiyor, ancak CVSS vektörü, bunun bir miktar kullanıcı etkileşimi gerektirdiğini gösteriyor.
Bu, bir bağlantıya tıklamayı, bir mesaj ekini açmayı veya saldırganın CVE-2024-24691’den yararlanmak için kullanabileceği başka bir eylem gerçekleştirmeyi içerebilir.
Çoğu kişi için Zoom, kullanıcılardan otomatik olarak en son sürüme güncelleme yapmalarını ister. Ancak Windows için masaüstü istemcisinin en son sürümü olan 5.17.7 sürümünü buradan manuel olarak indirip yükleyebilirsiniz.
Uygunsuz giriş doğrulama kusurunun yanı sıra, en son Zoom sürümü aşağıdaki altı güvenlik açığını da giderir:
- CVE-2024-24697: Zoom 32-bit Windows istemcilerindeki yüksek önem derecesine sahip bir sorun, güvenilmeyen bir arama yolunu kullanarak yerel erişim yoluyla ayrıcalık artışına izin veriyor.
- CVE-2024-24696: Zoom Windows istemcilerinde hatalı giriş doğrulamanın neden olduğu bir toplantı içi sohbet güvenlik açığı, bilgilerin ağ üzerinden ifşa edilmesine olanak tanır.
- CVE-2024-24695: CVE-2024-24696’ya benzer şekilde, Zoom Windows istemcilerindeki hatalı giriş doğrulaması, bilgilerin ağ üzerinden ifşa edilmesine olanak tanır.
- CVE-2024-24699: Zoom’un toplantı içi sohbet özelliğindeki bir iş mantığı hatası, bilgilerin ağ üzerinden ifşa edilmesine yol açabilir.
- CVE-2024-24690: Bazı Zoom istemcilerinde hatalı giriş doğrulamanın neden olduğu güvenlik açığı, ağ üzerinden hizmet reddini tetikleyebilir.
- CVE-2024-24698: Bazı Zoom istemcilerindeki uygunsuz kimlik doğrulama hatası, ayrıcalıklı kullanıcılar tarafından yerel erişim yoluyla bilgilerin ifşa edilmesine izin verir.
Zoom kullanıcılarının, harici aktörlerin ayrıcalıklarını hassas verileri çalmalarına, toplantıları kesintiye uğratmalarına veya gizlice dinlemelerine ve arka kapılar kurmalarına olanak sağlayacak bir düzeye yükseltme olasılığını azaltmak için güvenlik güncellemesini mümkün olan en kısa sürede uygulaması gerekir.