Un
bug del client web di Zoom permetteva di fare infiniti tentativi per forzare la password di 6 cifre che protegge le riunioni private. La falla è stata chiusa, ma il rischio è stato concreto perché per sfruttare la falla non serviva una preparazione avanzata. Bastava un banale
attacco brute force. A scoprire l'ennesima vulnerabilità nella sicurezza di Zoom è stato Tom Anthony, VP Product presso SearchPilot, che ci è arrivato quasi per caso.
Tutta colpa del Primo Ministro inglese Boris Johnson, che in piena pandemia ha annunciato via Twitter la prima riunione di gabinetto via Zoom. Anthony si è chiesto se fosse stato possibile "origliare", e ha provato a indovinare delle password numeriche da 6 caratteri. Ha scoperto che si poteva fare in pochi minuti.
Falla e hacking
Anthony si è presto
accorto che
Zoom non poneva limitazioni ai tentativi di indovinare le password. L'unica limitazione posta dal programma di collaboration riguardava la rapidità con cui si potevano effettuare richieste HTTP.
Significa che con un attacco brute force gli aggressori avrebbero potuto provare tutte le possibili combinazioni, fino a trovare quella corretta. Alla peggio sarebbero serviti un milione di tentativi per trovare la chiave giusta. Un altro "difetto" di Zoom, infatti, è che per la protezione delle riunioni private era prevista una
password numerica di sole 6 cifre. Non c'era modo di impostare una chiave alfanumerica più lunga.
Alla luce di queste informazioni, il manager ha condotto un esperimento con un ambiente di test su una macchina virtuale AWS. Ha controllato 25 password al secondo: in 25 minuti aveva passato in rassegna 91.000 password. Ne ha concluso che se un cyber criminale avesse avuto a disposizione un threading migliorato e 4 o 5 server cloud avrebbe potuto fare
un milione di tentativi in pochi minuti.
Il manager poi fa notare che le riunioni ricorrenti, inclusi gli ID riunione personali (PMI), hanno sempre lo stesso codice di accesso. Significa che agli aggressori sarebbe bastato decifrarlo una volta per ottenere
l'accesso permanente alle sessioni future.
I problemi non finiscono qui. Anthony ha scoperto anche che un errore nel CSRF (Cross Site Request Forgery) nel modulo della privacy semplificava ancora di più il lavoro degli hacker.
Problema risolto
Anthony ha segnalato il problema a Zoom il 1 aprile 2020, insieme a una concept in Python che dimostrava quanto aveva scoperto.
Il client web è stato messo offline il giorno successivo. Il 9 aprile Zoom web è tornato online con le dovute correzioni. Ora il numero di tentativi per l'inserimento della password è limitato, e sono accettate chiavi non numeriche e più lunghe. Zoom ha inoltre risolto i problemi con il token CSRF, chiudendo totalmente le falle segnalate.
Tanto zelo è dovuto anche e soprattutto alla difficile situazione che ha dovuto fronteggiare Zoom. Il lockdown ha fatto lievitare i suoi utenti dai 10 milioni di fine 2019 ai 300 milioni al giorno di aprile. I cyber criminali hanno intravisto la ghiotta possibilità che gli si presentava e hanno colpito con attacchi ripetuti e variegati che hanno creato molti problemi.
La situazione si è normalizzata a luglio, quando comunque è emersa una
vulnerabilità zero-day nel client che consentiva l'esecuzione di codice da remoto. L'attenzione resta alta e agli utenti è comunque consigliata molta prudenza. Anche perché manca ancora all'appello la
crittografia end-to-end.