Falla in Zoom-Chat

Proto: N010421.

Con la presente CERT-Yoroi desidera informarla riguardo una vulnerabilità di tipo 0-day che affligge Zoom Chat, noto software per le videoconferenze online. La falla è nota con l’identificativo CVE-2021-30480. 

La vulnerabilità è causata da lacune nella validazione degli input gestiti dal componente “Zoom Chat”, il quale permette a un attaccante di rete remoto con accesso alla chat room, tramite invito o tramite appartenenza alla stessa organizzazione, di eseguire codice arbitrario sui dispositivi dei contatti Zoom Chat. 

Il Vendor al momento ha confermato tale vulnerabilità per le versioni per sistemi operativi Mac OSX e Windows, ma alla data odierna non sono state rilasciate patch di sicurezza per risolvere la problematica, che, comunque, non riguarda gli applicativi Zoom Meeting e Zoom Video Webinars, ma solo l’applicativo Zoom Chat. 

Considerata la diffusione del software vulnerabile, il rilascio di proof-of-concept per lo sfruttamento della vulnerabilità, ed i potenziali scenari di attacco mirato rivolti a figure apicali aziendali, CERT-Yoroi consiglia caldamente, in attesa di prossimi rilasci di patch correttive, di appurare l’identità di chi richiede il contatto tramite Zoom Chat. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index