Özel Görüşme Şifrelerini Etkisiz Hale Getiren Zoom Güvenlik Açığı Giderildi

Koronavirüs sürecinde iş ve uzaktan eğitim başta olmak üzere birçok alanda öne çıkan video konferans uygulamaları arasında yer alan Zoom, son derece ciddi bir güvenlik açığının yama (patch) ile giderildiğini duyurdu. Söz konusu güvenlik açığının özel görüşmeler için kullanılan şifrelerin değiştirilmesi ve katılımcıların gizlice takibine neden olduğu ortaya çıktı.

Zoom, görüşmelerin şifrelenmesi için altı hanelik bir sayı atıyor. Güvenlik açığını ortaya çıkaran araştırmacılar, siber korsanların dakikalar içerisinde 4-5 farklı bulut sunucusu kullanarak yaklaşık 1 milyon adet şifreyi kırmaya çalıştığını tespit etti. Siber korsanlar tarafından gerçekleştirilen şifre kırma girişiminin başarıya ulaşması özel görüşmelerin de gizlice takibini mümkün kılıyor.

Çin merkezli teknoloji şirketi Zoom, Nisan ayında gündeme gelen gizlilik skandallarının ardından her görüşme odası için bir şifre atamaya başlamıştı. Güvenlik araştırmacıları, görüşme odalarının şifresini etkileyen güvenlik zafiyetinin hazırlanan kavram kanıtlama (POC) metni ile 1 Nisan 2020’de Zoom’a ilettiğini belirtiyor. Bunun üzerine aksiyon alan Zoom’un ilk yamayı 9 Nisan’da yayınladığı görülüyor.

Siber saldırının ayrıntıları…

Görüşmelerin altı haneli şifreler ile korunuyor olması, bir anda en fazla 1 milyon şifre oluşturulabileceği anlamına geliyor. Fakat hatalı şifre girişini kontrol eden sistemin olmaması, art niyetli kullanıcıların Zoom ağ istemcisine (https://zoom.us/j/MEETING_ID) sürekli HTTP talebi göndererek 1 milyon kombinasyonun tümünü denemesini beraberinde getirdi.

Saldırının görüşmelerin yoğun olduğu saatlerde yaşandığı, böylelikle siber korsan veya korsanların devam etmekte olan görüşmelere gizlice sızmış olabileceği ifade edildi. Saldırının aynı zamanda takvimde ileri tarihler için belirlenmiş görüşmeler için de düzenlenebileceği not düşüldü.

Bu görüşmeler için atanan standart şifre yenilenebiliyor. Bu aşamada siber korsanlar, 10 milyon şifreli bir liste kullanarak revize edilen şifreyi brute-force saldırısı ile kırabiliyor.

Konunun daha da derinine inen araştırmacılar, ağ istemcisi kullanılarak Zoom’a giriş yapıldığı esnada kullanım hizmetleri ve gizlilik politikasına yönlendirerek beyan talep eden bir hata daha tespit edildi. Güvenlik analizlerinde bu süreçte kullanıcıların bilgisayarların CSRF (çapraz site talep dolandırıcılığı) HTTP başlığı gönderildiği anlaşıldı. CSRF dizinin saldırıyı biraz daha kolaylaştırdığı, ancak mevcut hatanın giderilmesinin şifre zafiyetini düzeltmeyeceği öne sürüldü.

Zoom, bildirilen hataların ardından ağ istemcisini çevrimdışına aldı ve 9 Nisan’a kadar yama hazırlama sürecine girdi. Koronavirüs sürecinde kullanıcılara ait bilgilerin yasa dışı kullanımı ve çalınmasına izin verdiği iddiaları üzerinden ağır eleştiriler alan Zoom, şifreleri ilgilendiren güvenlik zafiyeti ile titizlikle ilgilendi. Şirket, “sorunları daha iyi tanımlamak ve düzeltmek için” 90 gün boyunca yeni içerik sunulmayacağını da açıklamıştı.

Son olarak Zoom, geride bıraktığımız Temmuz ayı başında yaptığı açıklamada Windows uygulamasında bir sıfır-gün saldırısı tespit edildiğini, bunun da siber korsanlara Windows 7 veya daha eski işletim sistemleri ile çalışan bilgisayarlara rastgele kod girebilme imkanı verdiğini bildirmişti. Aynı zamanda siber korsanların şirket hesaplarını taklit ederek çalışanlara sosyal mühendislik saldırısı düzenlemesine izin veren bir güvenlik açığı da giderildi.

Popüler hale gelmesinin ardından siber saldırıların odak noktalarından biri olan Zoom, ilerleyen süreçte de sıklıkla gündeme gelecek gibi görünüyor…