駭侵者可利用 Zoom 資安漏洞,以暴力試誤法破解私人視訊會議密碼.png

資安專家發現 Zoom 存有一個資安漏洞,可讓駭侵者透過暴力試誤法,猜到私人會議使用的密碼,進而加入會議。

獨立資安專家 Tom Anthony 於日前發現 Zoom 一個嚴重資安漏洞,可讓駭侵者以暴力試誤法重覆嘗試,快速找出私密視訊會議的密碼並登入會議。

這個漏洞出在 Zoom web 版本;web 版本的 Zoom 連線程式不但存有 CSRF 錯誤,甚至完全不限制密碼錯誤重試次數。由於 Zoom 的會議室密碼僅為六位數字,因此理論上最多只要猜測一百萬次,最終能猜到密碼。

Tom Anthony 說,3月31日時英國首相 Boris Johnson 透過 Zoom 進行英國史上首次遠距內閣會議,在其 Twitter 推文的螢幕截圖上顯示了其 Zoom 會議室的編號,引發他的興趣,開始研究 Zoom 會議的登入機制,因而發現這個漏洞。

Tom Anthony 指出,透過自動化程式猜測密碼,要破解這麼短、組合這麼少的會議密碼,根據其測試結果,不到半小時就猜出了正確的密碼;這還是使用單線執行的結果,如果以多台主機分散執行密碼猜測工作,猜到正確密碼的速度還能大幅加快。

該專家於今年四月一日時,將其發現結果通報給 Zoom 公司,Zoom 很快就在四月九日時更新其 Web 會議連線程式;除了修正 CSRF 錯誤、新增密碼試誤次數限制外,也將密碼格式由原本易破解的六位數字,改成更長的非數字格式,完全修復這個漏洞。


  • 參考連結

https://www.tomanthony.co.uk/blog/zoom-security-exploit-crack-private-meeting-passwords/

https://threatpost.com/zoom-flaw-could-have-allowed-hackers-to-crack-meeting-passcodes/157883/

https://www.securityweek.com/vulnerability-allowed-brute-forcing-passwords-private-zoom-meetings

arrow
arrow

    twcert 發表在 痞客邦 留言(0) 人氣()