Những hỗn loạn đến từ các tiết lộ liên quan đến lỗ hổng riêng tư tồn tại trong phần mềm hội nghị video Zoom kể từ đầu tuần trước cho tới nay vẫn chưa có dấu hiệu giảm nhiệt.

Vấn đề cốt lõi xảy ra khi một máy chủ web được cài đặt cục bộ bởi phần mềm Zoom không chỉ cho phép website bật camera của thiết bị mà còn cho phép các hacker nắm quyền kiểm soát hoàn toàn đối với máy tính Mac của người dùng từ xa.

Hai lỗ hổng tồn tại trong phần mềm hội nghị video Zoom

Được biết, nền tảng cuộc họp Zoom dựa trên đám mây (cloud-based Zoom meeting platform) dành cho macOS cũng đã được tìm thấy chứa một lỗ hổng nghiêm trọng khác (CVE-2019-13567) có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống được nhắm mục tiêu chỉ bằng cách thuyết phục người dùng truy cập vào một trang web độc hại được thiết kế giống như một trang web an toàn.

Lỗ hổng mới được đề cập gần đây nằm trong ứng dụng hội nghị Zoom là một lỗ hổng nghiêm trọng (CVE-2019-13450) nằm trong cách thức ứng dụng triển khai tính năng click-to-join (nhấp để tham gia) cho phép tự động bật webcam của người dùng khi họ truy cập một liên kết mời (invite link).

Cả hai lỗ hổng kể trên đều xuất phát từ một máy chủ web cục bộ gây tranh cãi – chạy trên cổng 19421 mà Zoom client cài đặt trên máy tính của người dùng để cung cấp tính năng “clik-to-join”. Khai thác RCE đối với phần mềm hội nghị video Zoom

Các vấn đề gây ra bởi lỗ hổng bảo mật

Nhà nghiên cứu bảo mật Jonathan Leitschuh nhấn mạnh 2 vấn đề chủ yếu bao gồm (1) máy chủ cục bộ “không an toàn” nhận lệnh qua HTTP, cho phép mọi trang web tương tác với nó và (2) máy chủ này không bị gỡ cài đặt khi người dùng gỡ bỏ ứng dụng Zoom Client khỏi hệ thống, dẫn tới nguy cơ người dùng sẽ phải đối mặt với những hiểm họa từ lỗ hổng này mãi mãi.  

Sau khi liên tục nhận được những chỉ trích mạnh mẽ từ nhiều bên, phía công ty đã phát hành bản cập nhật khẩn cấp cho phần mềm của mình để loại bỏ hoàn toàn việc triển khai máy chủ web chứa lỗ hổng (ZoomOpener daemon).

Tuy nhiên, bản cập nhật phần mềm không thể bảo vệ những khách hàng cũ hiện không còn sử dụng ứng dụng Zoom nhưng đã từng vô tình kích hoạt máy chủ web trên hệ thống của họ khi tải về và cài đặt trước đây.

Đáng lo ngại, theo một tư vấn bảo mật được công bố bởi Cơ sở dữ liệu lỗ hổng quốc gia (NVD), lỗ hổng RCE mới được phát hiện vẫn có khả năng tấn công những người dùng đã gỡ cài đặt phần mềm hội nghị Zoom nhưng máy chủ web của nó vẫn được kích hoạt và lắng nghe trên cổng 19421.

Apple âm thầm phát hành bản vá bảo mật

Trong khi đó, để bảo vệ người dùng tránh khỏi các tác động của lỗ hổng, Apple mới đây đã âm thầm phát hànhmột bản cập nhật cho tất cả người dùng macOS theo đó hệ thống sẽ tự động xóa bỏ máy chủ web Zoom mà không yêu cầu bất kỳ tương tác nào từ người dùng bất kể người đó có đang còn sử dụng ứng dụng hội nghị Zoom trên thiết bị của mình nữa hay không.  

Hiện chi tiết kỹ thuật của lỗ hổng RCE mới trong Zoom client cho macOS hiện vẫn chưc được công bố nhưng Jonathan và các nhà nghiên cứu khác đã xác nhận và mô phỏng sự tồn tại của một khai thác PoC hoạt động như trong video trên.

Nhằm tránh khỏi các tác động của hai lỗ hổng bảo mật mới, người dùng Zoom được khuyến nghị cài đặt các bản cập nhật hệ thống mới nhất cũng như nâng cấp ngay lập tức lên phiên bản Zoom client 4.4.53932.0709 hoặc đơn giản là gỡ bỏ ứng dụng và chỉ sử dụng phiên bản trình duyệt client meeting.

THN