Check Point Software Technologies e Zoom hanno individuato un problema di sicurezza nella funzione di personalizzazione dell’URL di Zoom. La falla, se sfruttata, avrebbe permesso ad un hacker di manipolare i link ID delle riunioni così da fingersi un dipendente di una potenziale azienda da attaccare proprio tramite Zoom, fornendogli un vettore per il furto di credenziali o di informazioni sensibili.
- Come primo step, un hacker avrebbe iniziato presentandosi come un dipendente legittimo dell’azienda in questione
- In seguito, l’hacker avrebbe inviato un invito tramite Vanity URL aziendale a clienti di rilievo, al fine di guadagnare credibilità
- Infine, l’hacker avrebbe potuto attuare un furto di credenziali e informazioni sensibili, nonché altre azioni fraudolente
I ricercatori di Check Point hanno lavorato con Zoom per identificare un problema di sicurezza nella funzione di personalizzazione dell’URL di Zoom. Se sfruttata, la falla avrebbe permesso ad un hacker di manipolare i link ID delle riunioni fingendosi un dipendente di una potenzialeazienda vittima tramite Zoom, fornendo allo stesso hacker un vettore per il furto di credenziali o di informazioni sensibili.
Secondo Zoom, un Vanity URL è un URL personalizzata di un’azienda, come può essere, ad esempio, yourcompany.zoom.us. Questo vanity URL è necessario per la configurazione se si intende attivare l’SSO (Single Sign On). Volendo, è anche possibile brandizzare una vanity page per avere il proprio logo/marchio personalizzato, ma generalmente gli utenti finali non passano dalla vanity page. Solitamente, infatti, gli utenti cliccano direttamente sul link per partecipare a una riunione.
Due modalità per sfruttare la falla
Il potenziale problema di sicurezza avrebbe potuto permettere a un hacker di manipolare un Vanity URL (ad es. https://yourcompany.zoom.us) in due modi:
- Targeting tramite link diretti: durante l’organizzazione di un meeting, l’hacker potrebbe modificare l’URL d’invito per includere un sottodominio registrato a sua scelta. In altre parole, se il link originale è https://zoom.us/j/##########, l’hacker potrebbe cambiarlo in https://<nome dell’organizzazione>.zoom.us/j/#########. Senza una particolare formazione in ambito cybersecurity, sul come riconoscereuna URL appropriata, un utente, ricevuto questo invito, potrebbe non riconoscere la sua inautenticità o credere, ingiustamente, che esso sia stato emesso da un’azienda realmente esistente.
- Targeting delle interfacce web dedicate a Zoom: alcune aziende dispongono di una interfaccia web Zoom personalizzata per le conferenze. Un hacker potrebbe prendere di mira tale interfaccia e tentare di reindirizzare un utente verso l’inserimento dell’ID di meeting nelVanity URL dannoso, piuttosto che nell’interfaccia web reale di Zoom. Come nel caso degli attacchi tramite link diretti, senza un’attenta formazione in materia di cybersecurity, la vittima di tal tipo di attività fraudolente potrebbe non essere in grado di riconoscere l’URL dannosoe cadere vittima dell’imbroglio.
Check Point Research e Zoom hanno lavorato insieme per risolvere il problema, impostando ulteriori salvaguardie per la protezione degli utenti. In precedenza, Check Point Research aveva già lavorato con Zoom lo scorso gennaio, per risolvere un’altra potenziale vulnerabilità che avrebbe potuto permettere agli hacker di partecipare a un meeting senza essere invitati. La nuova potenziale falla nella sicurezza dei Vanity URL è stata rilevata dai ricercatori che avevano già lavorato alla precedente collaborazione di gennaio.
Pierluigi Torriani, Security Engineering Manager, Italy afferma:
“Poiché Zoom è diventato uno dei principali canali di comunicazione, a livello mondiale, in ambito business, governativo e consumer, è fondamentale che agli hacker sia impedito di sfruttare Zoom per scopi criminali. Lavorando insieme al team di sicurezza di Zoom, abbiamo aiutato l’azienda a fornire agli utenti di tutto il mondo un’esperienza di comunicazione più sicura, semplice e affidabile, in modo che possano trarre il massimo vantaggio dai benefit dati dal servizio.”
