Populaire et omniprésente (le logiciel n'est pas toujours les deux !), la société de réunion en nuage Zoom a récemment annoncé un bogue qui n'était pas censé se produire dans la version Mac de son logiciel.
Le bulletin de sécurité est, on peut le pardonner, écrit dans le style typiquement saccadé et imprégné de jargon des chasseurs de bogues, mais le sens est assez clair.
Le bogue est noté CVE-2022-28762, et est détaillé dans Bulletin Zoom ZB-22023:
Lorsque le contexte de rendu du mode caméra est activé dans le cadre de l'API Zoom App Layers en exécutant certaines applications Zoom, un port de débogage local est ouvert par le client Zoom.
Où voudrais tu aller aujourd'hui?
Un "port de débogage" fait généralement référence à une connexion réseau d'écoute, généralement un socket TCP, qui gère les demandes de débogage.
De la même manière qu'un serveur de messagerie écoute généralement sur le port TCP 25, attendant que les clients de messagerie distants "appellent" sur le réseau et demandent l'autorisation de livrer les messages entrants, les ports de débogage écoutent sur un port de leur choix (souvent configurable, bien que parfois uniquement de manière non documentée) pour les connexions entrantes qui souhaitent émettre des commandes de débogage.
Contrairement à un serveur de messagerie, cependant, qui accepte les demandes relatives à la livraison des messages (par exemple MAIL FROM ainsi que RCPT TO), les connexions de débogage fournissent généralement une sorte d'interaction beaucoup plus intime avec l'application à laquelle vous vous connectez.
En effet, les ports de débogage vous permettent généralement non seulement de connaître la configuration et l'état interne de l'application elle-même, mais également d'envoyer des commandes directement à l'application, y compris le type de commandes sapant la sécurité qui ne sont pas disponibles pour les utilisateurs réguliers. via l'interface utilisateur standard.
Un serveur de messagerie, par exemple, vous permettra généralement d'envoyer un message à son port TCP pour un nom d'utilisateur de votre choix, mais il ne vous permettra pas d'envoyer des commandes qui reconfigurent le serveur lui-même, et il ne vous permettra pas d'extraire des informations secrètes comme les statistiques du serveur ou les messages d'autres personnes.
En revanche, ce sont exactement le genre de "fonctionnalités" que les ports de débogage autorisent généralement, afin que les développeurs puissent modifier et surveiller le comportement de leur application pendant qu'ils essaient de résoudre les problèmes, sans avoir à passer par l'interface utilisateur habituelle.
(Vous pouvez voir à quel point ce type de "canal latéral" dans les entrailles d'une application serait particulièrement utile lorsque vous essayez de déboguer l'interface utilisateur elle-même, étant donné que le fait d'utiliser l'interface utilisateur pour déboguer l'interface utilisateur interférerait presque certainement avec les mesures mêmes que vous essayiez de faire.)
Notamment, les ports de débogage vous permettent généralement d'obtenir une sorte de "vue interne" de l'application elle-même, telle que : jeter un coup d'œil dans des zones de mémoire qui ne seraient généralement jamais exposées aux utilisateurs de l'application ; saisir des instantanés de données pouvant contenir des données confidentielles telles que des mots de passe et des jetons d'accès ; et déclencher des captures audio ou vidéo sans alerter l'utilisateur…
… le tout sans vous connecter à l'application ou au service en premier lieu.
En d'autres termes, les ports de débogage sont un mal nécessaire à utiliser lors du développement et des tests, mais ils ne sont pas censés être activés, ni idéalement même activables, lors d'une utilisation régulière de l'application, en raison des failles de sécurité évidentes qu'ils introduisent.
Aucun mot de passe nécessaire
En gros, si vous avez accès au port TCP sur lequel le débogueur écoute et que vous pouvez y créer une connexion TCP, c'est toute l'authentification dont vous avez besoin pour prendre en charge l'application.
Et c'est pourquoi les ports de débogage ne sont généralement activés que dans des circonstances soigneusement contrôlées, lorsque vous savez que vous voulez réellement permettre à un développeur de pouvoir se promener directement dans l'application, en profitant d'un accès de superpuissance effectivement non réglementé et potentiellement dangereux.
En effet, de nombreux produits logiciels sont délibérément construits en deux saveurs différentes : une version de débogage, où le débogage peut être activé si vous le souhaitez, et une version de version dans laquelle les fonctionnalités de débogage sont complètement omises afin qu'elles ne puissent pas être activées du tout, que ce soit par accident ou à dessein.
Les téléphones Android de Google incluent un mode de débogage, dans lequel vous pouvez brancher un câble USB et creuser dans le téléphone (mais pas avec des pouvoirs root complets) à partir de votre ordinateur portable via ce qu'on appelle l'ADB, abréviation de Pont de débogage Android. Pour activer le débogage, vous devez d'abord cliquer sur Paramètres > À propos du téléphone > Numéro de construction sept fois (vraiment !) de suite. Ce n'est qu'alors que l'option d'activation du débogage apparaît même dans les menus, où vous pouvez l'activer à Paramètres > Système > Avancé > Options pour les développeurs > débogage USB. Ensuite, lorsque vous vous connectez et essayez de vous connecter depuis votre ordinateur portable, vous devez autoriser la connexion via une fenêtre d'avertissement sur le téléphone lui-même. Vous pouvez certainement le faire exprès, si vous avez un accès physique à un téléphone déverrouillé, mais il est peu probable que cela se produise par erreur.
Pour plus de sécurité, les ports de débogage sont souvent configurés de manière à ne pas accepter les connexions provenant d'autres ordinateurs (en termes techniques, ils écoutent uniquement sur l'interface « localhost »).
Cela signifie qu'un attaquant cherchant à abuser d'une interface de débogage activée de manière incorrecte aurait d'abord besoin d'un pied sur votre ordinateur, comme une sorte de malware proxy qui accepte lui-même les connexions via Internet, puis relaie ses paquets réseau à l'interface réseau "localhost".
Malgré la nécessité d'une sorte d'accès local dans le cas de CVE-2022-28762, cependant, Zoom a donné à ce bogue un "score de gravité" CVSS de 7.3/10 (73%), et une cote d'urgence de Haute.
Les connexions réseau TCP locales sont généralement conçues pour fonctionner au-delà des limites des utilisateurs et des processus, de sorte qu'un attaquant n'aurait pas besoin d'être connecté en tant que vous (ou en tant qu'administrateur) pour abuser de ce bogue - n'importe quel processus, même un programme exécuté sous un environnement très limité. compte invité, pourrait être en mesure de vous espionner à volonté.
De plus, étant donné que les commandes logicielles émises via un port de débogage fonctionnent généralement indépendamment de l'interface utilisateur habituelle d'une application, vous ne verrez probablement aucun signe indiquant que votre session Zoom a été détournée de cette façon.
Si un attaquant activait l'application via des canaux de contrôle à distance Mac plus conventionnels tels que le partage d'écran (VNC), vous auriez au moins une chance de repérer l'attaquant en déplaçant le pointeur de votre souris, en cliquant sur les boutons de menu ou en tapant du texte…
… mais via une interface de débogage, qui est essentiellement une porte dérobée délibérée, vous pourriez parfaitement ignorer (et peut-être même être incapable de détecter) qu'un attaquant vous espionnait très personnellement, en utilisant votre webcam et votre microphone.
Que faire?
Heureusement, la propre équipe de sécurité de Zoom a repéré ce que nous supposons être une erreur de construction (une fonctionnalité laissée activée qui aurait dû être supprimée) et a rapidement mis à jour le logiciel Mac bogué.
Mettez à jour votre client macOS Zoom pour version 5.12.0 ou ultérieure et le port de débogage restera fermé lorsque vous utiliserez Zoom.
Sur un Mac, accédez à l'écran principal zoom.us menu et choisissez Check for Updates... pour voir si vous avez la dernière version.
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- CVE-2022-28762
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- Sécurité nue
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- snooping
- spyware
- Autres
- VPN
- vulnérabilité
- la sécurité d'un site web
- zéphyrnet
- zoom
![S3 Ep120 : Quand le dud crypto ne veut tout simplement pas lâcher prise [Audio + Texte]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "S3 Ep120 : Quand le dud crypto ne veut tout simplement pas lâcher prise [Audio + Texte]")
