背景

有许多组织和个人创建自己的排五走势图方案。尽管使用自定义方案具有安全优势,但是当使用该方案的软件具有大量用户时,缺点会被放大。  Zoom是使用自己专有的排五走势图方案的一家公司,并且发现了与该排五走势图有关的严重安全漏洞。由于此漏洞,超过500,000 Zoom Meeting用户的信息已泄露。

由于COVID-19大流行,政府一直在执行临时安置令,这导致员工在家工作。为了有效地工作,他们必须保持牢固的连接和沟通。缩放是全世界许多人用来帮助他们完成此任务的工具。实际上,许多公司都将其用作主要的通信媒介,这使此漏洞成为一个严重的问题。

为什么会发生?

在四月变焦  博客文章 ,Zoom表示他们没有’尽管他们已将其排五走势图称为端到端,但当前仍实现了实际的端到端排五走势图。他们使用该术语来描述设备和Zoom服务器之间的传输排五走势图类型。因此,从理论上讲,一旦该信息在服务器上,Zoom便具有解密和监视Zoom Meeting信息的能力。

漏洞在哪里?

Zoom会议的视频和音频数据通过Zoom服务器(Zoom的云)分发给所有与会者。当客户选择在内部托管时,Zoom会生成并有权访问排五走势图会议的AES密钥。会议主持人可以将其会议设置为具有虚拟等候室,从而拒绝会议与会者直接访问Zoom会议。而是,与会者必须等待会议主持人的允许。 (根据 市民实验室研究人员)。但是,等候室中的每个人都可以访问会议的解密密钥。因此,恶意参与者不必真正加入会议即可访问会议的视频和音频流。

据报道,Zoom的排五走势图还有另一个严重的安全问题。根据先前发布  单据 ,Zoom应用程序已使用AES-256算法排五走势图会议内容。但是,Zoom应用程序实际上使用的是单个128位排五走势图密钥。

最后,Zoom在会议期间使用AES在ECB模式下对所有音频和视频进行排五走势图和解密。 ECB排五走势图 不建议使用此命令,因为它在语义上是不安全的,这意味着仅观察ECB排五走势图的密文可能会泄漏有关纯文本的信息。 ECB模式用于纯文本排五走势图的相同块(8或16字节),该块始终产生相同的密文块。这可以使攻击者检测到ECB排五走势图的消息相同或包含重复数据,共享公用前缀,其他公用子字符串。

有关更多详细信息,Wikipedia上有一个很好的图形化展示了此弱点

该排五走势图漏洞是 reported as CVE-2020-11500.

有关此漏洞的更多信息,请访问: //metadefender.opswat.com/vulnerabilities/CVE-2020-11500

潜在影响

攻击者更容易解密会议内容并侵犯用户隐私。

特警 如何 检测缩放漏洞?

特警  技术可以监视组织中具有此漏洞的所有端点。

元访问  可以检测到具有Zoom漏洞CVE-2020-11500的设备,并提供修复说明。

整治

它是 强烈建议您始终保持“缩放”为最新状态。

资源: //www.opswat.com/blog/the-confidentiality-of-zoom-meetings-detection-remediation-with-opswat