Haberler
Kritik Zoom Zafiyetini Ortaya Çıkaran Beyaz Şapkalı Hacker’lara 200 Bin Dolar Ödül
Video konferans uygulaması Zoom’da kullanıcı müdahalesi olmadan komut uygulanmasına neden olan yeni bir zafiyet keşfedildi…
Güvenlik araştırmacıları, siber suçluların Zoom video konferans uygulamasında uzaktan kod işlemesini (RCE) sağlayacak bir sıfır gün zafiyeti ortaya çıkardı.
Söz konusu zafiyetin, Zero Day Initiative adı verilen siber güvenlik girişimi tarafından düzenlenen Pwn2Own beyaz-şapkalı korsan etkinliğinde ortaya çıkarıldığı belirtildi. Etkinlik, siber güvenlik uzmanları ve ekiplerinin popüler yazılım ve hizmetlerdeki zafiyetleri ortaya çıkarmasına odaklanıyor.
En son etkinliğin, aralarında web tarayıcıları, görselleştirme yazılımı, sunucular, kurumsal iletişim dahil 23 ayrı başlık içerdiği kaydedildi. Güvenlik zafiyetleri ortaya çıkaran beyaz şapkalı hacker’lara para ödülü vadedilen etkinlikte, Zoom’a ait sıfır gün saldırısını tespit eden iki kişi 200.000 dolar ile ödüllendirildi.
Beyaz şapkalı hacker’lar sunumlarında, üç güvenlik zafiyeti kullanarak hiçbir kullanıcı müdahalesi gerekmeden RCE tetikleyerek saldırı düzenlenebileceğini gösterdi. Detayları tam olarak sunulmayan sıfır gün saldırısı hakkında Zoom’un halen yama yapmaya çalıştığı bildirilirken, soruna yönelik başka bir sunumda beyaz şapkalı korsanlar, Zoom açık olan cihazda hesap makinesi açmayı da başardı.
Sıfır gün zafiyetinin Zoom uygulamasının hem Windows hem de Mac versiyonlarında çalıştığı, ancak iOS ve Android üzerinde henüz test edilmediği bilgisi aktarıldı. Zoom’un web tarayıcısı üzerinden kullanılan versiyonu ise zafiyete muaf.
Zoom, sıfır gün saldırısını yamamak için çalışıldığını açıklarken, sorunun Zoom Chat ile bağlantılı olduğu ve Zoom Meetings ile Zoom Video Webinar hizmetlerini etkilemediği ifade edildi.
Saldırının harici bir bağlantı veya kurum içi bir bağlantı aracılığıyla düzenlenebileceğini belirten Zoom, kullanıcıların “sadece güvendikleri bağlantıların taleplerini kabul etmelerini” istedi.
Geliştiricilerin tespit edilen zafiyetleri yamamak için 90 gün süresi bulunuyor. Bu süre boyunca uygulamayı kullanmaktan çekinen kullanıcıların web tarayıcısından Zoom’u açmaları tavsiye edildi.
Bu arada en son Pwn2Own etkinliğinde para ödülü alan diğer tespitler şu şekildeydi:
- Apple Safari: 100,000 dolar
- Microsoft Exchange: 200,000 dolar
- Microsoft Teams: 200,000 dolar
- Ubuntu Desktop: 30,000 dolar
Geçtiğimiz aylarda da özel görüşme şifrelerini etkisiz hale getiren bir Zoom güvenlik açığı giderilmişti. Detayı için buraya tıklayabilirsiniz.
