La plateforme de vidéoconférence Zoom a été affectée par une vulnérabilité de type "zero-day" qui aurait pu permettre aux attaquants d'exécuter des commandes à distance sur les machines concernées. La faille a eu un impact sur les appareils fonctionnant sous le système d'exploitation Windows, en particulier Windows 7 et ses versions antérieures.

Depuis, la société a résolu le problème et publié un correctif vendredi, avec les notes de version 5.1.3 (28656.0709) indiquant que le correctif « corrige un problème de sécurité affectant les utilisateurs exécutant Windows 7 et plus ancien. »

Les détails techniques sur cette vulnérabilité sont rares. Elle n'a pas reçu d'identifiant CVE (Common Vulnerabilities and Exposures) et a été décrite pour la première fois par ACROS Security sur son blog 0patch :

« La vulnérabilité permet à un attaquant distant d'exécuter un code arbitraire sur l'ordinateur de la victime où est installé le client Zoom pour Windows (toute version actuellement prise en charge) en amenant l'utilisateur à effectuer une action typique telle que l'ouverture d'un fichier de document. Aucun avertissement de sécurité n'est montré à l'utilisateur au cours d'une attaque »’, précise ACROS.

Cependant, la société a également noté que la faille est « uniquement exploitable sur les systèmes Windows 7 et plus anciens », en plus d’être « probablement aussi exploitable sur Windows Server 2008 R2 et plus anciens ». En revanche, Windows 10 et Windows 8 ne sont pas concernés.

LECTURE CONNEXE : Fin de vie de Windows 7 : Il est temps de passer à autre chose

ACROS a été averti de cette faille par un chercheur désirant rester anonyme. La société a alors analysé les affirmations du chercheur et a essayé plusieurs scénarios d'attaque avant de transmettre ses conclusions à Zoom, accompagnées d'une preuve de concept et de recommandations sur la manière de régler le problème. Il n'y a pas de nouvelles d'attaquants exploitant le virus dans la nature.

ACROS a également publié jeudi dernier un micropatch rapide qui a éliminé la vulnérabilité du code avant que Zoom ne s'attaque au problème avec son propre patch. Le correctif a été mis à la disposition de tous, gratuitement, et la société a publié une démonstration de la manière dont un utilisateur peut facilement déclencher la vulnérabilité.

La pandémie COVID-19 a conduit de nombreuses entreprises à opter pour le télétravail et les gens à pratiquer la distanciation sociale, les applications de vidéoconférence sont devenues incontournables pour le travail comme pour la vie sociale.

Dans le cas de Zoom, les feux de la rampe inattendus ont également contribué à révéler une série de failles en matière de sécurité et de confidentialité affectant la plateforme, ce qui a finalement incité son PDG Eric S. Yuan à annoncer un gel des nouvelles fonctionnalités pendant 90 jours pour remédier à ces problèmes. La pause imposée aux mises à jour des fonctionnalités s'est écoulée au début de ce mois.

Quoi qu'il en soit, les utilisateurs de Zoom seraient bien avisés d'appliquer le dernier correctif afin de réduire le risque qu'un acteur malveillant attaque leurs appareils. Si vous souhaitez renforcer la sécurité de vos vidéoconférences, Tony Anscombe, évangéliste en chef d'ESET pour la sécurité, a donné des conseils judicieux dans deux articles récents : Le premier, sur la sécurité en matière de vidéoconférence en général, et le second consacré spécifiquement à la configuration sécuritaire de Zoom.