网络安全专业人员仍在发现与放大在线安全公司Check Point的研究人员详细他们的最新发现:Zoom中的一项漏洞利用程序该漏洞可能使任何演员无法使用公司的虚荣网址进行自己的视频会议
这就是这个意思基本上付费使用Zoom进行视频会议服务的公司和组织可以设置唯一的虚荣子域以在Zoom域名中为会议添加品牌例如公司可以将其视频会议设置为在URL https://YourCompany.zoom.us/meetingID上直播
该错误使任何人都可以设置自己的Zoom会议并添加在Zoom中注册的任何子域假设麦当劳使用mcdonalds.zoom.us自定义子域进行会议任何人都可以开始自己的会议将“ mcdonalds”子域添加到他们自己的个人Zoom会议链接中该链接将起作用该URL可能会导致单击该URL的用户进入不良演员的个人Zoom会议
那些参加Zoom会议的人可能会误以为他们正在与该子域中提到的公司进行电话会议攻击者可能已经利用这种能力冒充公司代表和社会工程师的实际雇员或客户来泄露敏感信息
此外还有另一种方法可以滥用此漏洞
一些具有自定义Zoom URL的公司为其会议登录设置了品牌化的Web会议界面继续使用上面的示例麦当劳可以设置自己的品牌mcdonalds.zoom.us仪表板上面带有公司徽标和其他商标以作为其员工登录和输入会议ID的中心空间
该漏洞利用程序可以将任何ID会议输入公司的品牌Zoom界面无论它是否是公司员工设置的会议这意味着攻击者可能已经开始了自己的会议然后将用户定向到mcdonalds.zoom.us仪表板以输入攻击者的会议ID而该用户将已进入攻击者的Zoom会议
很容易理解用户如何轻易地认为如果他们通过带有麦当劳品牌的Web界面进入URL缩放会议网址为mcdonalds.zoom.us他们会以为这是正式的Zoom公司会议
Check Point提供了一些有关如何在下面的视频中使用此漏洞的视觉效果