Sembra un gioco di parole, ed invece è uno dei tanti allarmi lanciati quest’anno rispetto alla sicurezza di tecnologie utilizzate in modo diffuso. 

Zoom è la piattaforma di collaborazione che ha avuto una esplosione di notorietà ed utilizzo nel periodo di pandemia, come molte altre piattaforme concorrenti. Il mondo da quel momento è profondamente cambiato e l’utilizzo di tali piattaforme è divenuto consuetudine anche per gruppi sociali precedentemente inimmaginabili. 

Evidentemente una così ampia diffusione di utilizzo crea bacini di potenziali vittime enorme, pertanto gli agenti di minaccia potrebbero trovare grande interesse per questa nuova superficie di attacco. 

Come è possibile vedere nell’elenco ufficiale dei bollettini di sicurezza emanati dalla società Zoom (https://explore.zoom.us/en/trust/security/security-bulletin/), anche a maggio sono stati rilevati 4 nuovi problemi di sicurezza (è la norma per il ciclo di vita di un software) per i loro software, identificati come CVE-2022-22787, CVE-2022-22785, CVE-2022-22786 e CVE-2022-22784. Complessivamente non viene risparmiata alcuna piattaforma: Windows, macOS, iOS, Android, Linux. 

La CVE-2022-22787 e la CVE-2022-22785 sono state classificate con severità media, un CVSS 5.9 ciascuna, mentre la CVE-2022-22786 e la CVE-2022-22784 sono state classificate con severità alta, con CVSS rispettivamente pari a 7.5 e 8.1. Tutte le analisi sono state condotte dal team di sicurezza di Google, il Google Project Zero, e nella fattispecie dell’analista Ivan Fratric, come correttamente riportato nei bollettini. Naturalmente i bollettini indicano le versioni software da installare per risolvere le problematiche analizzate: facciamolo. 

La cosa particolare in questo racconto è come in realtà la CVE-2022-22787 risulti essere comunque particolarmente insidiosa per l’utente finale in quanto crea i presupposti per un attacco più sofisticato. Mediante questa infatti, un agente di minaccia può, per difetto di validazione degli hostname coinvolti, forzare un client utente alla connessione ad un server malevolo nel momento in cui l’utente intenda accedere ai servizi Zoom. La cosa è resa possibile all’attaccante mediante il semplicemente invio alla vittima (tramite chat) di un messaggio appositamente costituito, attraverso il protocollo utilizzato dalla tecnologia Zoom per scambio messaggi e informazioni di presenza in tempo reale tra le “stanze”: il protocollo XMPP (Extensible Messaging and Presence Protocol), un protocollo aperto di messaggistica istantanea basato su XML un tempo noto come Jabber. 

Questa vulnerabilità, in congiunzione con la falla CVE-2022-22784 (ben più grave, 8.1), che consente di falsificare i messaggi XMPP e costringere il cliente della vittima a compiere azioni all’oscuro dell’utente, crea una forma di attacco ben più grave e complessa. 

Si tratta di una forma di attacco detta “zero-click” che risulta molto efficace proprio in quanto non richiede l’interazione (click) della vittima per agire. 

In conclusione possiamo affermare che non c’è tregua per l’utente medio: anche tecnologie apparentemente così elementari e oggi divenute così familiari sono foriere di potenziali rischi. Nessuna area nel mondo delle tecnologie può essere considerata esente dai rischi cyber, nessuna zona franca, nessuna superficiale convinzione di inviolabilità è possibile per ciascuno di noi. Più la tecnologia è familiare e più (paradossalmente) la minaccia si fa più insidiosa, per via della soglia di attenzione più bassa da parte dell’utente medio (e non solo).

Tweet