การแจ้งเตือนข้อบกพร่องของ Zoom: ช่องโหว่ของแอป Zoom นี้ทำให้แฮกเกอร์สามารถจี้การประชุมธุรกิจของคุณได้ (03.19.24)

การประชุมทางวิดีโอสำหรับที่ทำงานมักจะไม่มีเหตุการณ์เกิดขึ้น โดยที่ฝ่ายหนึ่งจะนำเสนอ หลายคนเข้ามาฟัง (หรือหัวเราะเยาะกับเรื่องเล็กๆ น้อยๆ) และบางส่วนก็ทำให้เสียงขาดหายไปในตอนท้าย แต่มีความตื่นเต้นอีกแบบหนึ่งที่คุณไม่ต้องการให้เกิดขึ้นระหว่างการประชุมทางธุรกิจออนไลน์เหล่านี้: บั๊กของ Zoom เข้าครอบงำ

ลองนึกภาพสิ่งนี้: บุคคลที่ไม่ได้รับอนุญาต (เรียกว่าแฮ็กเกอร์) เข้าควบคุม ของหน้าจอของคุณในระหว่างการประชุม Zoom แล้วส่งข้อความลามกและไม่เหมาะสมไปยังผู้เข้าร่วมประชุมคนอื่นๆ นี่เป็นปัญหาล่าสุดของ Zoom ที่มีช่องโหว่ใหม่ในแอปเดสก์ท็อปสำหรับบริการวิดีโอแชท

อย่างไรก็ตาม ข่าวดีก็คือ Zoom ได้แก้ไขข้อบกพร่องร้ายแรงของการประชุมทางวิดีโอนี้แล้ว

Zoom Bug: รายละเอียดที่น่ารังเกียจ

นักวิจัยด้านความปลอดภัยทางไซเบอร์ David Wells แห่ง Tenable ค้นพบในแอปเดสก์ท็อปของ Zoom โดยอธิบายว่าเป็นสิ่งที่ให้ผู้โจมตีเข้าควบคุมหน้าจอของผู้ใช้ที่ไม่สงสัยและส่งข้อความแชทในนามของเขาหรือเธอ การโจมตียังไล่ผู้คนออกจากวิดีโอคอน!

ปัญหานี้เกี่ยวข้องกับแพ็กเก็ต UDP ซึ่งเป็นการแฮ็กที่คุ้นเคยสำหรับอุปกรณ์ Internet of Things (IoT) ด้วยจุดบกพร่องของ Zoom คำสั่งใดๆ ที่แอป Windows, Mac และ Linux ถูกสกัดกั้นจะถือเป็นคำต่อคำ ซึ่งหมายความว่าผู้โจมตีสามารถส่งรหัสที่ปนเปื้อนและมีอิสระที่จะทำทุกอย่าง ตั้งแต่เข้าร่วมการโทรส่วนตัวไปจนถึงเตะผู้เข้าร่วมคนอื่นๆ ออก

"วิธีนี้ทำให้ผู้โจมตีสามารถสร้างและส่งกระเป๋า UPD ถูกตีความว่าเป็นข้อความที่ประมวลผลจากช่องทาง TCP ที่เชื่อถือได้ซึ่งใช้โดยเซิร์ฟเวอร์ Zoom ที่ได้รับอนุญาต” บล็อก Tenable อธิบาย

ช่องโหว่ของแอป Zoom ทำให้ผู้โจมตีหรือผู้เข้าร่วมที่หลอกลวงสามารถ:

  • การควบคุมหน้าจอจี้ ซึ่งข้ามการอนุญาตและอนุญาตให้ผู้โจมตีส่งการกดแป้นพิมพ์และการเคลื่อนไหวของเมาส์เพื่อควบคุมเดสก์ท็อปได้อย่างเต็มที่
  • หลอกข้อความแชท ซึ่งแอบอ้างเป็นผู้ใช้ที่ถูกต้องในการโทร
  • ปิดผู้เข้าร่วมประชุม แม้จะไม่ได้พบกับโฮสต์

ตามที่อธิบายไว้ ในโพสต์ มีข้อบกพร่องเกิดขึ้นเนื่องจากการตรวจสอบข้อความที่ไม่เหมาะสม หน่วยงานที่เป็นอันตรายเพียงต้องการทราบที่อยู่ IP ของเซิร์ฟเวอร์ Zoom เพื่อใช้ประโยชน์จากช่องโหว่ล่าสุด

ช่องโหว่การปลอมแปลงข้อความของ Zoom Client for Meetings มีรหัสอย่างเป็นทางการ CVE-2018-15715 มีผลกับเวอร์ชันต่อไปนี้:

  • Windows 10, Zoom 4.1.33259.0925
  • macOS 10.13, Zoom 4.1.33259.0925
  • Ubuntu 14.04, Zoom 2.4 129780.0915
การดำเนินการอย่างรวดเร็วของ Zoom

Zoom ซึ่งมีบริษัทประมาณ 750,000 แห่งใช้บริการของตน ดำเนินการทันทีหลังจากที่ Wells รายงานข้อบกพร่อง แพตช์เซิร์ฟเวอร์เพื่อปกป้องผู้ใช้จากการโจมตีที่อาจเกิดขึ้น

นอกจากนี้ ยังได้เผยแพร่การอัปเดตสำหรับแอป Windows, Mac และ Linux เพื่อแก้ไขปัญหาเพิ่มเติม เวอร์ชันล่าสุดของแอปคือ 4.1.34814.1119 สำหรับ Windows และ 4.1.34801.1116 สำหรับ Mac OS อย่างไรก็ตาม ผู้ใช้จะต้องอัปเดตด้วยตนเองเพื่อป้องกันการถูกไฮแจ็กระหว่างการโทร

Zoom มุ่งมั่นที่จะรักษาข้อมูลของคุณให้ปลอดภัยด้วยการเข้ารหัสทุกครั้งที่คุณลงชื่อเข้าใช้ผ่านเว็บไซต์ ซอฟต์แวร์ หรือแอป . แต่ต่อไปนี้คือเคล็ดลับเพิ่มเติมบางประการสำหรับประสบการณ์การซูมที่ปลอดภัย:

  • อย่าเก็บรหัสผ่านของคุณเป็นข้อความธรรมดา ซึ่งเปิดโอกาสให้มัลแวร์เข้าถึงไฟล์ของคุณ
  • เมื่อพูดคุยเกี่ยวกับหัวข้อที่ละเอียดอ่อนระหว่างการประชุม ให้ใช้รหัสผ่านของห้องเพื่อล็อกผู้เข้าร่วม "เซอร์ไพรส์" ที่ไม่ต้องการ ชั้นการป้องกันนี้มีประโยชน์อย่างยิ่งสำหรับห้องประชุมถาวรที่อดีตนายจ้างอาจรู้จัก
  • เก็บการแจ้งเตือน "เข้าร่วมก่อนโฮสต์" หรือปิดใช้งาน "เข้าร่วมก่อนโฮสต์" >หากคุณไม่ต้องการให้ใครเข้าไปในห้องประชุมโดยที่คุณไม่อยู่ในห้องประชุมก่อน
  • จัดเก็บบันทึกการซูมอย่างถูกต้อง โปรดระวังว่าหากคุณจัดเก็บไว้บนคลาวด์ อาจมีผู้อื่นบุกเข้าไปในบริการและเข้าถึงการบันทึกได้ ดังนั้น แทนที่จะต้องพึ่งพาผู้ให้บริการพื้นที่เก็บข้อมูลบุคคลที่สาม การเข้ารหัสไฟล์ด้วยตัวคุณเองในระบบของคุณและเก็บไว้ในวิธีที่คุณต้องการมากที่สุดจะดีกว่า
  • รักษาคอมพิวเตอร์ของคุณให้สะอาดอยู่เสมอและเพิ่มประสิทธิภาพสูงสุด เครื่องมือซ่อมแซมพีซีของบริษัทอื่นที่เชื่อถือได้สามารถวินิจฉัยระบบ Windows ของคุณ ล้างไฟล์ขยะในครั้งเดียว และระบุปัญหาด้านความเร็วและความเสถียรที่สำคัญ
  • หมายเหตุสุดท้าย

    ช่องโหว่ของแอป Zoom ที่ค้นพบและเปิดเผยเมื่อเร็วๆ นี้ ทำให้การประชุมทางธุรกิจตกอยู่ในความเสี่ยง โดยขัดขวางการประชุมและการจี้ควบคุมหน้าจอ การปลอมแปลงข้อความแชท และการยกเลิกการสนทนา

    ซูม แก้ไขปัญหาอย่างรวดเร็วด้วยการแพตช์เซิร์ฟเวอร์และเผยแพร่การอัปเดตสำหรับแอป Windows, Mac และ Linux

    คุณได้รับผลกระทบจากบั๊กการซูมล่าสุดหรือไม่ บอกเราเกี่ยวกับประสบการณ์ของคุณ!


    วิดีโอ YouTube: การแจ้งเตือนข้อบกพร่องของ Zoom: ช่องโหว่ของแอป Zoom นี้ทำให้แฮกเกอร์สามารถจี้การประชุมธุรกิจของคุณได้

    03, 2024