黑客大赛上，研究人员揭Zoom RCE漏洞

据外媒报道，两位荷兰白帽安全专家参加了一年一度的电脑黑客大赛Pwn2Own，成功找到了Zoom的远程代码执行（RCE）漏洞，并且获得了20万美元的奖励。

Pwn2Own

Pwn2Own是 "零日倡议 "组织的一项高规格活动，挑战黑客在常用软件和移动设备中发现新的严重漏洞。举办该活动的目的是为了证明流行的软件和设备都有缺陷和漏洞，并为漏洞的地下交易提供一个平衡点。

"目标 "自愿提供自己的软件和设备，并对攻击成功者给予奖励。粉丝们会看到一场黑客奇观，成功的黑客会得到嘉奖和不菲的现金（在这种情况下，奖励高达20万美元），而厂商们则会找到令人讨厌的漏洞。

Pwn2Own 2021从4月6日至4月8日举行。今年活动的重点是在家工作（WFH）时使用的软件和设备，包括Microsoft Teams和Zoom，原因显而易见。

白帽子

受雇于网络安全公司Computest的Keuper和Alkemade在Pwn2wn活动的第二天结合三个漏洞接管了一个远程系统。这些漏洞不需要受害者的互动。他们只需要在一次Zoom通话中。

漏洞

本着负责任的披露态度，该方法的全部细节一直处于保密状态。我们知道的是，这是远程代码执行（RCE）漏洞：作为一类软件安全漏洞，允许恶意行为者通过局域网、广域网或互联网在远程机器上执行他们选择的代码。

该方法在Windows和Mac版本的Zoom软件上有效，但不影响浏览器版本。目前还不清楚iOS-和Android-app是否存在漏洞，因为Keuper和Alkemade并没有对这些进行研究。

Pwn2Own组织在推特上发布了一张gif图，展示了该漏洞的运行情况。你可以看到攻击者在运行Zoom的系统上打开计算器。Calc.exe经常被用作黑客在远程系统上打开的程序，以表明他们可以在受影响的机器上运行代码。

可以理解的是，Zoom还没来得及针对该漏洞发布补丁。他们有90天的时间来发布该漏洞的细节，但预计他们会在这一时期结束之前完成。研究人员在Pwn2Own活动的第二天就发现了这个漏洞，并不意味着他们在这两天就想通了。他们会投入几个月的研究来寻找不同的漏洞，并将它们组合成RCE攻击。

安全工作做得好

这个事件，以及围绕它的程序和协议，很好地展示了白帽黑客的工作方式，以及负责任的信息披露意味着什么。在以补丁的形式为每个人提供现成的保护之前，将细节留给自己（理解为供应商会尽自己的责任，并迅速制作补丁）。

缓解措施

目前，只有这两名黑客和Zoom知道这个漏洞的工作原理。只要保持这样的状态，Zoom用户就没有什么好担心的。对于那些担心的人来说，据说浏览器版本是不会受到这个漏洞的影响的。对于其他的人来说，将需继续关注补丁，在补丁出来后尽早更新。

4月9日更新

Zoom回应了有关Pwn2Own活动的文章。

"我们感谢零日计划允许我们赞助并参与Pwn2Own温哥华2021大赛，这是一项突出安全研究人员所做的关键性和技能性工作的活动。我们非常重视安全问题，非常感谢Computest的研究。

我们正在努力缓解我们的群组消息产品Zoom Chat的这一问题。Zoom Meetings 和 Zoom Video Webinars 中的会话聊天不受此问题影响。攻击还必须来自于已接受的外部联系人，或者是目标的同一组织账户的一部分。

作为最佳实践，Zoom建议所有用户只接受来自他们认识和信任的个人的联系请求。如果您认为自己发现了Zoom产品的安全问题，请将详细的报告发送给我们信任中心的漏洞披露计划。"

原文来自: cnBeta.com