Zoom 的 Vanity URL 功能漏洞被利用进行网络钓鱼攻击
当组织、学校和私人用户选择Zoom视频会议服务作为协作平台工具时,Zoom视频会议服务的受欢迎程度在新冠肺炎事件爆发期间呈爆炸式增长。
组织可以使用Vanity URL机制来创建Zoom的邀请链接的自定义版本。
最近,Check Point的研究人员在Zoom Vanity URL中发现了一个漏洞,该功能允许用户创建“Vanity URL”。
组织可以使用Vanity URL机制来创建Zoom的邀请链接的自定义版本。
在修复Zoom之前,攻击者可能试图假冒组织的Vanity URL链接并发送似乎是欺骗受害者的合法邀请。此外,攻击者可能已将受害者定向到一个子域专用网站,在该网站上受害者输入了相关的会议ID,并且不会被告知邀请不是来自合法组织。
攻击者可以利用此问题诱使受害者相信他们收到的邀请是从公司的Vanity URL发送的。
在专家报告的攻击中,URL实际上指向攻击者注册的子域,其名称看起来与目标域名相似。
通过这种攻击方案,攻击者旨在诱使受害者移交凭据或其他敏感信息。
如果原始邀请链接为 https://zoom.us/j/7470812100
,则攻击者可以将其更改为https://<组织名称>.zoom.us/j/7470812100
。收到这样邀请的受害者将无法得知邀请实际上并非来自实际组织。
此外,攻击者还可以将链接从/ j /更改为/ s /:https://<组织的名称> .zoom.us/s/7470812100
。考虑到在输入此类URL时会出现组织徽标的情况,这可能会增加一层欺骗性。同样,单击“登录到开始”按钮通常会导致受害者进入组织的合法门户。这个问题冒充了使用Vanity URL功能的相关组织。
Check Point研究人员透露,攻击者还可以针对某些组织用于视频会议的专用Zoom Web界面。他们可以通过将用户重定向到恶意的Vanity URL来利用此漏洞。
专家说:“用户可以在此屏幕中输入任何会议ID,无论它最初是由组织员工安排的,还是可以加入相关的Zoom会话。攻击者本可以通过专用网站邀请受害者加入会话,而受害者将无法得知邀请实际上并非来自合法组织。”
CheckPoint已与Zoom合作解决了该漏洞问题。
这里讨论的攻击者如何冒充组织的Zoom子域链接或实际子域网站的所有细节都被负责任地披露给Zoom Video Communications,Inc.。Zoom已修复了此安全问题,所以描述的利用不再可能。