قال باحثون أمنيون إن ثغرتين من الثغرات التي كُشف عنها حديثًا في خدمة مؤتمرات الفيديو (زوم) Zoom قد يؤدي استغلالها عن بُعد إلى اختراق العملاء وخوادم (موجه الوسائط المتعددة) Multimedia Router.

ونشرت الباحثة في شركة (بروجكت زيرو) Project Zero، (ناتالي سيلفانوفيتش) يوم الثلاثاء الماضي تحليلًا للثغرتين الأمنيتين.

وأوضحتْ الباحثة: “لم أكن في الماضي أعطي الأولوية لمراجعة Zoom لأنني كنت أعتقد أن أي هجوم ضد عملاء Zoom يتطلب نقرات متعددة من المستخدم”.

وأضافت: “ومع ذلك، من المحتمل ألّا يكون من الصّعب على مهاجم متخصّص إقناع الضحية بالانضمام إلى مكالمة Zoom حتى لو تطلّب الأمر نقراتٍ متعدّدة، والطريقة التي تستخدم بها بعض المؤسسات Zoom تقدّم سيناريوهات هجوم مثيرة للاهتمام”.

ووجدت سيلفانوفيتش ثغرتين مختلفتين، الأولى: هي مشكلة في تجاوز سعة المخزن المؤقت تؤثر على كل من عملاء Zoom وخوادم MMR، والأخرى هي عيب أمني لتسرب المعلومات ضروري لخوادم MMR. كما لوحِظ غياب الآلية الأمنية التي تُستخدم للحماية من هجمات تلف الذاكرة، والمعروفة باسم (عشوائية التخطيط لمساحة العنوان) ASLR.

وأشارت سيلفانوفيتش إلى أن “ASLR هي أهم وسيلة تخفيف في منع استغلال تلف الذاكرة، ومعظم وسائل التخفيف الأخرى تعتمد عليها على مستوى ما لتكون فعّالة”. وأضافت: “لا يوجد سبب وجيه لتعطيلها في الغالبية العظمى من البرامج”.

ونظرًا لأن خوادم MMR تعالج محتوى المكالمات؛ ويشمل ذلك الصوت والصورة، فإن الباحثة الأمنية تقول إنّ الثغرتين “مقلقتان على نحو استثنائي”، ففي حال حدوث اختراق، فإن أيّ اجتماعي افتراضي بدون تفعيل خاصية التشفير من طرف إلى طرف قد يتعرض للتّنصت.

Zoom صحّحت الثغرات

يُذكر أنّه قد تم إبلاغ الشركة بالثغرتين الأمنيتين، وصُحِّحتا في 24 تشرين الثاني/ نوفمبر الماضي. ومنذ ذلك الحين، فعّلت Zoom آلية ASLR.

ويُعتقد أنه كان من الممكن العثور على هاتين الثغرتين لأن Zoom تسمح للعملاء بإعداد الخوادم الخاصة بهم. ومع ذلك، فإن الطبيعة المغلقة للخدمة – التي لا تتضمن مكونات مفتوحة المصدر، مثل: WebRTC أو PJSIP، كما في العديد من الأدوات المماثلة الأخرى – تجعل التدقيق الأمني أصعب.

وبالنسبة لفريق Project Zero، فقد اضطروا لدفع ما يقرب من 1,500 دولار من رسوم الترخيص، وهي تكلفة قد لا يتمكن الآخرون، بما في ذلك الباحثون المستقلون، من تحمُّلِها.

وكانت Zoom قد أطلقت في شهر تشرين الثاني/ نوفمبر الماضي تحديثات أمنية تلقائية لعملاء سطح المكتب على نظامي التشغيل ويندوز وماك أوإس، وكذلك على الهاتف المحمول. وكانت هذه الميزة متاحة مسبقًا فقط لمستخدمي المؤسسات.