Son zamanlarda yaşanan COVID-19 salgını nedeni ile birçok kişi evde kalmak ve evden çalışmak zorunda kaldı. Evden çalışmak zorunda olan kişiler sayesinde video konferans ve arama yazılımı olan zoom oldukça popüler hale geldi. Bu alanda kendisi gibi birçok örneği olan zoom yazılımı medyadan ve kullanıcılardan büyük ilgi topladı.
Zoom yazılımına olan ilginin artması ile bazı güvenlik açıkları da ortaya çıktı. Cisco Talos adlı Güvenlik İstihabaratı ve Araştırma Grubu, kötü amaçlı kullanıcıların belirli bir kuruluştaki Zoom kullanıcılarının tam listesini elde etmesine imkan verebilecek bir güvenlik açığı hakkında açıklamalarda bulundu.
Güvenlik Açığı Detayları
Zoom, sohbet işlevi olan bir video konferans çözümüdür. Zoom kullanıcıya diğer kullanıcıları arama olanağı sağlar. İletişimde XMPP standardı temel alındığından, istemci grup adı belirten bir XMPP isteği gönderir. Zoom uygulamasında bu grup adı aslında bir e-posta kayıt alanıdır.
Buradaki güvenlik açığı, istekte bulunan kullanıcının sorgulanan alandaki doğrulama eksikliğinden kaynaklanır. Bu, keyfi kullanıcıların kayıtlı birçok etki alanındaki kişi listelerini istemelerine imkan verir. Bu işlem, kullanıcının Zoom’a geçerli bir kullanıcı hesabıyla doğru bir şekilde kimlik doğrulaması yapmasını gerektirir, daha sonra kullanıcı arbitrary_domain.com alanıyla ilişkili kullanıcıların bir listesini almak için aşağıdaki gibi bir XMPP mesajı gönderir.
- <iq id='{XXXX}’ type=’get’ from=’[email protected]/ZoomChat_pc’ xmlns=’jabber:client’>
- <query xmlns=’zoom:iq:group’ chunk=’1′ directory=’1′>
- <group id=’arbitrary_domain.com’ version=’0′ option=’0’/>
- </query>
- </iq>
Bu isteğe cevap olarak, Zoom sunucusu bu etki alanı altındaki kayıtlı kullanıcıların dizinini gösterir. Bu dizin, otomatik olarak oluşturulan XMPP kullanıcı adı, kullanıcının adı ve soyadı gibi kişisel ayrıntıları içerir. XMPP sorguları ile birleştirilen bu bilgiler, kullanıcın e-posta adresi, telefon numarası ve vCard’ında bulunan kişilerde dahil olmak üzere daha fazla bilgiye ulaşmak için kullanılabilir. Çok fazla kullanıcı Zoom uygulamasını ilk kez kullandığı için, çok geniş bir saldırı alanı ortaya çıkıyor.
Saldırı Senaryosu
Kuruluşlar, uzaktan çalışma ile ilgili risklerden ve uzaktan çalışanların mevcut durumundan yararlanmak isteyen saldırganlar tarafından yapılabilecek sosyal mühendislik saldırılarına karşı bir farkındalığa sahip olmalıdır. Bu güvenlik açığı ile kuruluştaki tüm Zoom kullanıcılarının e-posta adreslerini öğrenmek için kuruluştaki e-postaları bilinen kişilere yönelik bir kimlik avı saldırısı kullanılabilir. Son zamanlarda uzaktan çalışabilmek için Zoom yazılımını yüklemek zorunda kalan kullanıcılar, “Zoom istemcisinin güncel versiyonunu” yüklemelerini bildiren ve içinde truva atı olan e-postalara karşı özellikle dikkatli olmalıdır. Kuruluşlar, bunun gibi kullanıcı odaklı saldırı risklerinin farkında olmalı ve bu saldırıları azaltmak için gerekli adımları atmalıdır.
Test Edilen Sürümler ve Sorunun Çözümü
Talos, 9 nisan 2020 tarihinden itibaren Zoom’u etkileyen bu güvenlik açığını test etti ve onayladı. Bu yazının yayınlanmasından itibaren, sorun ile ilgili problem çözülmüş gibi görünmektedir. Bulut taraflı bir güvenlik açığı olan bu problem Zoom’un altyapısında giderildiği için kullanıcıların veya yöneticilerin herhangi bir işlem yapmasına gerek kalmamıştır.
Kaynak
