Zoom Web Güvenlik Açığı, Bilgisayar Korsanlarının Toplantı Şifrelerini Kırmalarına İzin Verebilir

Zoom Web Güvenlik Açığı, Bilgisayar Korsanlarının Toplantı Şifrelerini Kırmalarına İzin Verebilir

31
0
@Oğuzhan ÇALIŞKAN

Ülkemizde ve dünyada görülen bulaşıcı Covid-19 salgını dolayısıyla birçok devlet kurumu ve firma evden çalışma modeline geçmesinin ardından Zoom ve Microsoft Teams gibi toplantı uygulamalarının kullanımında benzeri görülmemiş bir artış meydana geldi. Her geçen gün artan kullanıcı sayısı ile Zoom, birçok kullanıcı için alternatif haline gelse de kullanımın artması ile birlikte uygulamanın güvenlik sorunları ortaya çıkmaya başladı.

Zoom firması tarafından oluşan aşırı kullanım sonucu güvenliğin sağlanması amacıyla Nisan ayından buyana 6 haneli güvenlik şifresi uygulaması halen kullanımda olsa da SearhPilot araştırmacısı Tom Anthony’nin elde etmiş olduğu bulgulara göre Zoom web uygulamasında bazı güvenlik açıkları mevcut ve bu güvenlik açığı sayesinde bilgisayar korsanları Zoom kullanıcılarının parola korumalı özel toplantılarına erişebilir. Saldırgan sadece 1 dakika içerisinde çeşitli yöntemler ile 1 milyon parolayı denemesi halinde toplantıya erişebilmesinin mümkün olduğunu belirtti.

Bilgisayar korsanı, sürekli tekrarlayan şifre girişimlerine rağmen herhangi bir güvenlik kontrolünün devreye girmediği için Zoom’un web istemcisinden bu açık sayesinde yararlanılabileceğini ve tekrarlayan HTTP istekleri gönderilmesinin ardından şifrenin kırılabileceğini ve şifre kırılır kırılmaz, bir bilgisayar korsanlarının devam eden toplantılara erişebileceği tezini ortaya çıkardı.

Anthony, bir toplantının şifresini elde etmenin ne kadar kolay olduğunu göstermek için bir AWS (Amozon Web Servisi) kullandı ve 91.000 şifre denemesinin ardından 25 dakika içinde şifreyi kırmayı başararak devam eden toplantıya katılmayı başardı. Yaşanan veri ihlalinin nedeni tekrarlanan şifre denemelerinde “hız sınırlaması” olmamasıdır. Sorun 1 Nisan 2020’de Anthony tarafından Zoom’a bildirildi ve şirket 9 Nisan’a kadar düzeltti. Daha sonra Anthony, şirkete Python tabanlı bir PoC gönderdi.Zoom şirketi her ne kadar bu açığı kapattığını duyursa da bu işlem sırasında gönderilmesi gereken CSRF HTTP üstbilgisi atlanırsa, istek yine de aynı şekilde çalışır. Anthony’ye göre bu, CSRF jetonunun gerektiği gibi çalışmadığı ve saldırganın kolayca çözebileceği için sorunu çözmeyeceği anlamına gelir.

Bu makaleyi okumaktan hoşlandınız mı? Facebook sayfamızı beğenin ve Twitter‘da bizi takip edin .

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir