idNSA.id - Eksplorasi surface attack zero-click untuk solusi
konferensi video populer Zoom telah menghasilkan dua kerentanan keamanan yang
sebelumnya tidak diungkapkan yang dapat dieksploitasi untuk merusak layanan,
mengeksekusi malicious code, dan bahkan membocorkan area memori yang
sewenang-wenang.
Natalie Silvanovich dari Google Project Zero, yang menemukan
dan melaporkan dua kerentanan tahun lalu, mengatakan masalah tersebut berdampak
pada klien Zoom dan server Multimedia Router (MMR), yang mengirimkan konten
audio dan video antar klien dalam on-premise deployment.
Tujuan serangan zero-click adalah untuk diam-diam mendapatkan
kendali atas perangkat korban tanpa memerlukan interaksi apa pun dari pengguna,
seperti mengklik tautan.
Sementara spesifikasi eksploit akan bervariasi tergantung
pada sifat kerentanan yang dieksploitasi, ciri utama peretasan zero-click adalah
kemampuannya untuk tidak meninggalkan jejak aktivitas jahat, membuatnya sangat
sulit untuk dideteksi.
Dua kelemahan yang diidentifikasi oleh Project Zero adalah
sebagai berikut:
CVE-2021-34423 (skor CVSS: 9,8) – Kerentanan buffer overflow
yang dapat dimanfaatkan untuk membuat crash layanan atau aplikasi, atau
mengeksekusi kode arbitrer.
CVE-2021-34424 (skor CVSS: 7,5) – Cacat eksposur memori
proses yang dapat berpotensi mendapatkan wawasan tentang area memori produk
yang berubah-ubah.
Dengan menganalisis traffic RTP (Real-time Transport
Protocol) yang digunakan untuk mengirimkan audio dan video melalui jaringan IP,
Silvanovich menemukan bahwa dimungkinkan untuk memanipulasi konten buffer yang
mendukung pembacaan tipe data yang berbeda dengan mengirimkan pesan chat yang
salah format, menyebabkan klien dan server MMR mogok.
Selain itu, kurangnya pemeriksaan NULL — yang digunakan untuk
menentukan akhir string memungkinkan kebocoran data dari memori saat bergabung
dengan rapat Zoom melalui browser web.
Peneliti juga mengaitkan cacat korupsi memori dengan fakta
bahwa Zoom gagal mengaktifkan ASLR, alias pengacakan tata letak ruang alamat,
mekanisme keamanan yang dirancang untuk meningkatkan kesulitan melakukan
serangan buffer overflow.
“Kurangnya ASLR dalam proses Zoom MMR sangat meningkatkan
risiko penyerang dapat mengkompromikannya,” kata Silvanovich. "ASLR bisa
dibilang mitigasi paling penting dalam mencegah eksploitasi korupsi memori, dan
sebagian besar mitigasi lain mengandalkannya pada tingkat tertentu agar
efektif. Tidak ada alasan bagus untuk menonaktifkannya di sebagian besar
perangkat lunak."
Sementara sebagian besar sistem konferensi video menggunakan library open source seperti WebRTC atau PJSIP untuk mengimplementasikan komunikasi multimedia, Project Zero menyebut penggunaan format dan protokol milik Zoom serta biaya lisensinya yang tinggi (hampir $1.500) sebagai hambatan untuk penelitian keamanan.
“Perangkat lunak closed-source menghadirkan tantangan
keamanan yang unik, dan Zoom dapat berbuat lebih banyak untuk membuat platform dapat
diakses oleh peneliti keamanan dan orang lain yang ingin mengevaluasinya,” kata
Silvanovich. "Sementara Tim Keamanan Zoom membantu saya mengakses dan
mengonfigurasi perangkat lunak server, tidak jelas apakah dukungan tersedia
untuk peneliti lain, dan lisensi perangkat lunak masih mahal."
