Les clients de bureau et VDI Zoom ainsi que le SDK Meeting pour Windows sont vulnérables à une faille de validation d’entrée inappropriée qui pourrait permettre à un attaquant non authentifié de procéder à une élévation de privilèges sur le système cible via le réseau.
Zoom est un service de visioconférence basé sur le cloud populaire pour les réunions d’entreprise, les cours de formation, les interactions/rassemblements sociaux, et bien plus encore. Il propose le partage d’écran, l’enregistrement de réunions, des arrière-plans personnalisés, une discussion en réunion et diverses fonctionnalités axées sur la productivité.
La popularité du logiciel a explosé pendant la pandémie de COVID-19, lorsque de nombreuses organisations se sont tournées vers des solutions à distance pour maintenir leurs opérations et la continuité de leurs activités. En avril 2020, le nombre de participants quotidiens aux réunions a atteint un sommet de 300 millions.
La faille récemment divulguée porte le numéro CVE-2024-24691 et a été découverte par l’équipe de sécurité offensive de Zoom, qui a reçu un score CVSS v3.1 de 9,6, la qualifiant de « critique ».
La vulnérabilité affecte les versions de produit suivantes :
- Zoom Desktop Client pour Windows avant la version 5.16.5
- Client Zoom VDI pour Windows avant la version 5.16.10 (sauf 5.14.14 et 5.15.12)
- Client Zoom Rooms pour Windows avant la version 5.17.0
- SDK Zoom Meeting pour Windows avant la version 5.16.5
La brève description de la faille ne précise pas comment elle pourrait être exploitée ni quelles pourraient être les répercussions, mais le vecteur CVSS indique qu’elle nécessite une certaine interaction de l’utilisateur.
Cela pourrait impliquer de cliquer sur un lien, d’ouvrir une pièce jointe à un message ou d’effectuer une autre action que l’attaquant pourrait exploiter pour exploiter CVE-2024-24691.
Pour la plupart des gens, Zoom devrait automatiquement inviter les utilisateurs à mettre à jour vers la dernière version. Cependant, vous pouvez télécharger et installer manuellement la dernière version du client de bureau pour Windows, version 5.17.7, à partir d’ici.
Outre la faille de validation des entrées incorrectes, la dernière version de Zoom corrige également les six vulnérabilités suivantes :
- CVE-2024-24697 : un problème de haute gravité dans les clients Windows Zoom 32 bits permet une élévation de privilèges via un accès local en exploitant un chemin de recherche non fiable.
- CVE-2024-24696 : Une vulnérabilité de chat en réunion dans les clients Zoom Windows causée par une validation d’entrée incorrecte permet la divulgation d’informations sur le réseau.
- CVE-2024-24695 : Semblable à CVE-2024-24696, une validation incorrecte des entrées dans les clients Zoom Windows permet la divulgation d’informations sur le réseau.
- CVE-2024-24699 : une erreur de logique métier dans la fonctionnalité de discussion en réunion de Zoom peut entraîner la divulgation d’informations sur le réseau.
- CVE-2024-24690 : Une vulnérabilité dans certains clients Zoom causée par une validation d’entrée incorrecte peut déclencher un déni de service sur le réseau.
- CVE-2024-24698 : Une faille d’authentification incorrecte dans certains clients Zoom permet la divulgation d’informations via un accès local par des utilisateurs privilégiés.
Les utilisateurs de Zoom doivent appliquer la mise à jour de sécurité dès que possible pour atténuer la probabilité que des acteurs externes élèvent leurs privilèges à un niveau qui leur permet de voler des données sensibles, de perturber ou d’écouter des réunions et d’installer des portes dérobées.