在年度黑客大会 Pwn2Own 中,两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行(RCE)漏洞,获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛,主要是让黑客在限定时间内对常用软件、移动设备发起挑战。
举办该活动的目的是为了验证流行的软件、服务、设备都存在缺陷和漏洞,并通过赏金的方式来遏制漏洞的地下交易。这些受到攻击的“targets”自愿提供自己的软件和设备,并对攻击成功者给予奖励。
受雇于网络安全公司 Computest 的 Keuper 和 Alkemade 在本次活动的第二天,通过 3 个漏洞的整合成功接管了一个远程系统。这些漏洞不需要受害者参与互动,只要开启 Zoom 会话就可以了。
这些 Zoom 漏洞适用于 Windows 和 macOS 端,不过网页端 Zoom 并不受影响。目前尚不清楚 Android 和 iOS 端的 APP 是否也存在这些漏洞,因为Keuper和Alkemade并没有对这些进行研究。
Pwn2Own组织在推特上发布了一个gif图,展示了该漏洞的运行情况。你可以看到攻击者在运行Zoom的系统上打开计算器。Calc.exe经常被用作黑客在远程系统上打开的程序,以表明他们可以在受影响的机器上运行代码。