Os clientes Zoom desktop e VDI e o Meeting SDK para Windows são vulneráveis ??a uma falha crítica de validação de entrada inadequada. Essa falha pode permitir que um invasor não autenticado conduza o escalonamento de privilégios no sistema de destino pela rede.
Falha crítica em aplicativos Zoom do Windows
O Zoom é um serviço popular de videoconferência baseado em nuvem para reuniões corporativas, aulas educacionais, interações/reuniões sociais e muito mais. Ele oferece compartilhamento de tela, gravação de reuniões, planos de fundo personalizados, bate-papo em reuniões e vários recursos focados na produtividade.
A popularidade do Zoom aumentou durante a pandemia da COVID-19, quando muitas organizações recorreram a soluções remotas para manter as operações e a continuidade dos negócios. Em abril de 2020, atingiu um pico de 300 milhões de participantes diários em reuniões.
A falha recém-divulgada é rastreada como CVE-2024-24691 e foi descoberta pela equipe de segurança ofensiva do Zoom, recebendo uma pontuação CVSS v3.1 de 9,6, classificando-a como “crítica”. Ela afeta as seguintes versões do produto: Zoom Desktop Client para Windows antes da versão 5.16.5; Cliente Zoom VDI para Windows anterior à versão 5.16.10 (excluindo 5.14.14 e 5.15.12); Cliente Zoom Rooms para Windows antes da versão 5.17.0; Zoom Meeting SDK para Windows antes da versão 5.16.5.
A breve descrição da falha não especifica como ela poderia ser explorada ou quais seriam as repercussões, mas o vetor CVSS indica que ela requer alguma interação do usuário. Isso pode envolver clicar em um link, abrir um anexo de mensagem ou realizar alguma outra ação que o invasor possa aproveitar para explorar o CVE-2024-24691, aponta o Bleeping Coomputer.
Notícias Relacionadas
Correção da falha
Para a maioria das pessoas, o Zoom deve solicitar automaticamente aos usuários que atualizem para a versão mais recente. No entanto, você pode baixar e instalar manualmente a versão mais recente do cliente de desktop para Windows, versão 5.17.7.
Além da falha de validação de entrada inadequada, a versão mais recente do Zoom também aborda as seis vulnerabilidades a seguir:
- CVE-2024-24697: Um problema de alta gravidade em clientes Windows Zoom de 32 bits permite o escalonamento de privilégios por meio de acesso local, explorando um caminho de pesquisa não confiável.
- CVE-2024-24696: Uma vulnerabilidade de bate-papo em reunião em clientes Zoom Windows causada por validação de entrada inadequada permite a divulgação de informações pela rede.
- CVE-2024-24695: Semelhante ao CVE-2024-24696, a validação de entrada inadequada em clientes Zoom Windows permite a divulgação de informações pela rede.
- CVE-2024-24699: Um erro de lógica de negócios no recurso de bate-papo em reunião do Zoom pode levar à divulgação de informações pela rede.
- CVE-2024-24690: Vulnerabilidade em alguns clientes Zoom causada por validação de entrada inadequada pode desencadear uma negação de serviço na rede.
- CVE-2024-24698: Falha de autenticação inadequada em alguns clientes Zoom permite divulgação de informações por meio de acesso local por usuários privilegiados.
Os usuários do Zoom devem aplicar a atualização de segurança o mais rápido possível para mitigar a probabilidade de atores externos elevarem seus privilégios a um nível que lhes permita roubar dados confidenciais, interromper ou espionar reuniões e instalar backdoors.
