זום למק מתקנת באג ערמומי "מרגל עלי" - עדכן עכשיו!

חברת פגישות הענן הפופולרית והנפוצה בכל מקום (תוכנה היא לא תמיד שני הדברים האלה!) הודיעה לאחרונה על באג אופס-שלא היה אמור לקרות בגרסת המק של התוכנה שלה.

עלון האבטחה כתוב, למרבה הסליחה, בסגנון הטיפוסי והספוג בז'רגון של ציידי באגים, אבל המשמעות ברורה למדי.

הבאג מסומן CVE-2022-28762, והוא מפורט ב עלון זום ZB-22023:

כאשר ההקשר לעיבוד מצב מצלמה מופעל כחלק מממשק ה-API של Zoom App Layers על ידי הפעלת אפליקציות זום מסוימות, יציאת ניפוי באגים מקומית נפתחת על ידי לקוח Zoom.

לאן היית רוצה ללכת היום?

"יציאת איתור באגים" מתייחסת בדרך כלל לחיבור רשת מאזין, בדרך כלל שקע TCP, המטפל בבקשות איתור באגים.

באותו אופן שבו שרת דוא"ל מאזין בדרך כלל ביציאת TCP 25, ממתין שלקוחות דוא"ל מרוחקים "יתקשרו" דרך הרשת ויבקשו הרשאה להעביר הודעות נכנסות, יציאות ניפוי באגים מאזינות ביציאה לבחירתן (לעתים קרובות ניתן להגדרה, אם כי לפעמים רק בצורה לא מתועדת) עבור חיבורים נכנסים שרוצים להנפיק פקודות ניפוי באגים.

לעומת זאת, בניגוד לשרת דוא"ל, שמקבל בקשות הקשורות למשלוח הודעות (למשל. MAIL FROM ו RCPT TO), חיבורי ניפוי באגים מספקים בדרך כלל סוג הרבה יותר אינטימי של אינטראקציה עם האפליקציה שאליה אתה מתחבר.

ואכן, יציאות איתור באגים מאפשרות לך בדרך כלל לא רק לברר על התצורה והמצב הפנימי של האפליקציה עצמה, אלא גם להנפיק פקודות ישירות לאפליקציה, כולל סוג הפקודות הפוגעות באבטחה שאינן זמינות למשתמשים רגילים. דרך ממשק המשתמש הרגיל.

שרת דואר אלקטרוני, למשל, בדרך כלל יאפשר לך לשלוח הודעה ליציאת ה-TCP שלו עבור שם משתמש לבחירתך, אבל הוא לא יאפשר לך לשלוח פקודות שמגדירות מחדש את השרת עצמו, ולא יאפשר לך לחלץ מידע סודי כגון סטטיסטיקות שרת או הודעות של אנשים אחרים.

לעומת זאת, אלו בדיוק מסוג ה"תכונות" שבדרך כלל מאפשרות יציאות ניפוי באגים, כך שמפתחים יכולים לצבוט ולנטר את התנהגות האפליקציה שלהם בזמן שהם מנסים לתקן בעיות, בלי צורך לעבור את ממשק המשתמש הרגיל.

(אתה יכול לראות כיצד סוג זה של "ערוץ צדדי" לתוך הקרביים של יישום יהיה שימושי במיוחד כאשר אתה מנסה לנפות באגים בממשק המשתמש עצמו, בהתחשב בכך שהפעולה של שימוש בממשק המשתמש כדי לנפות באגים בממשק המשתמש כמעט בוודאות תפריע עם עצם המדידות שניסית לעשות.)

יש לציין כי יציאות ניפוי באגים מאפשרות בדרך כלל לקבל מעין "תצוגה פנימית" של האפליקציה עצמה, כגון: הצצה לאזורי זיכרון שלעולם לא ייחשפו בדרך כלל למשתמשי האפליקציה; צילום תמונות נתונים שעלולים להכיל נתונים סודיים כגון סיסמאות ואסימוני גישה; והפעלת לכידת אודיו או וידאו מבלי להודיע ​​למשתמש...

...הכל מבלי להיכנס לאפליקציה או לשירות מלכתחילה.

במילים אחרות, יציאות ניפוי באגים הן רוע הכרחי לשימוש במהלך פיתוח ובדיקה, אבל הן לא אמורות להיות מופעלות, או באופן אידיאלי אפילו להיות ניתנות להפעלה, במהלך שימוש קבוע באפליקציה, בגלל חורי האבטחה הברורים שהן מציגות.

אין צורך בסיסמה

באופן רופף, אם יש לך גישה ליציאת ה-TCP שבה המאזין מאזין, ואתה יכול ליצור אליה חיבור TCP, זה כל האימות שאתה צריך כדי להשתלט על האפליקציה.

וזו הסיבה שבדרך כלל יציאות איתור באגים מופעלות רק בנסיבות מבוקרות בקפידה, כאשר אתה יודע שאתה באמת רוצה לאפשר למפתח להיות מסוגל לשוטט ישירות בתוך האפליקציה, ליהנות ממה שהוא למעשה גישה לא מוסדרת ועלולה להיות מסוכנת של מעצמות-על.

ואכן, מוצרי תוכנה רבים בנויים בכוונה בשני טעמים שונים: בניית ניפוי באגים, שבה ניתן להפעיל ניפוי באגים אם תרצה, ו-build מהדורה שבה תכונות ניפוי הבאגים מושמטות לחלוטין כך שלא ניתן להפעיל אותן כלל, בין אם על ידי בתאונה או בתכנון.

טלפונים אנדרואיד של גוגל כוללים מצב ניפוי באגים, לפיו אתה יכול לחבר כבל USB ולחפור בטלפון (אם כי לא עם כוחות שורש מלאים) מהמחשב הנייד שלך באמצעות מה שמכונה ADB, קיצור של אנדרואיד באגים גשר. כדי לאפשר איתור באגים בכלל, תחילה עליך ללחוץ על הגדרות > על טלפון > לבנות מספר שבע פעמים (באמת!) ברציפות. רק אז האפשרות להפעיל איתור באגים אפילו מופיעה בתפריטים, שם ניתן להפעיל אותה בכתובת הגדרות > מערכת > מתקדם > אפשרויות למפתחים > ניפוי USB. לאחר מכן, כאשר אתה מתחבר ומנסה להתחבר מהמחשב הנייד שלך, עליך לאשר את החיבור באמצעות חלון קופץ אזהרה בטלפון עצמו. אתה בהחלט יכול לעשות זאת בכוונה, אם יש לך גישה פיזית לטלפון לא נעול, אבל לא סביר שזה יקרה בטעות.

למען אבטחה נוספת, יציאות ניפוי באגים מוגדרות לעתים קרובות כך שהן לא יקבלו חיבורים המגיעים ממחשבים אחרים (במונחים טכניים, הם מאזינים בממשק "localhost" בלבד).

משמעות הדבר היא שתוקף המבקש לעשות שימוש לרעה בממשק ניפוי באגים שאופשר באופן לא תקין, יזדקק תחילה לדריסת רגל במחשב שלך, כמו איזו תוכנה זדונית של פרוקסי שמקבלת בעצמה חיבורים דרך האינטרנט, ולאחר מכן מעבירה את מנות הרשת שלו לממשק הרשת "localhost".

עם זאת, למרות הצורך בגישה מקומית כלשהי במקרה של CVE-2022-28762, זום העניק לבאג זה "ציון חומרה" של CVSS של 7.3/10 (73%), ודירוג דחיפות של גָבוֹהַ.

חיבורי רשת TCP מקומיים מתוכננים בדרך כלל לעבוד על פני גבולות המשתמשים והתהליכים, כך שתוקף לא יצטרך להיות מחובר כמוך (או כמנהל) כדי לעשות שימוש לרעה בבאג הזה - כל תהליך, אפילו תוכנית שפועלת תחת מוגבלות מאוד חשבון אורח, אולי יוכל לרגל אחריך כרצונו.

יתר על כן, מכיוון שפקודות תוכנה המונפקות דרך יציאת ניפוי באגים פועלות בדרך כלל ללא תלות בממשק המשתמש הרגיל של אפליקציה, סביר להניח שלא תראה שום סימני מתנה לכך שהפעלת הזום שלך נחטפה בדרך זו.

אם תוקף היה מפעיל את האפליקציה באמצעות ערוצי שליטה מרחוק קונבנציונליים יותר של Mac כמו שיתוף מסך (VNC), לפחות היה לך סיכוי לזהות את התוקף מזיז את מצביע העכבר שלך, ללחוץ על כפתורי תפריט או להקליד טקסט...

...אבל דרך ממשק ניפוי באגים, שהוא בעצם דלת אחורית מכוונת, אתה עלול להיות לא מודע (ואולי אפילו לא יכול לזהות) שתוקף חטט בך באופן אישי מאוד, באמצעות מצלמת האינטרנט והמיקרופון שלך.

מה לעשות?

למרבה המזל, צוות האבטחה של זום עצמו הבחין במה שאנו מניחים היה טעות בזמן הבנייה (תכונה שנותרה פעילה שהייתה אמורה להידחק), ועדכנה מיידית את תוכנת ה-Mac באגי.

עדכן ל-macOS Zoom Client שלך ל גרסה 5.12.0 ואילך ויציאת איתור הבאגים תישאר סגורה כשאתה משתמש בזום.

ב-Mac, עבור אל הראשי zoom.us תפריט ובחר Check for Updates... כדי לראות אם יש לך את הגרסה העדכנית ביותר.

---