Check Point Software scova un bug nei vanity URL di Zoom

Check Point Software ha collaborato con Zoom per identificare (l’ennesimo) problema di sicurezza. Questa volta è toccato alla funzione di personalizzazione dell’URL di Zoom che l’azienda chiama vanity URL. Se sfruttata, la falla avrebbe permesso ad un hacker di manipolare i link ID delle riunioni fingendosi un dipendente di una potenziale azienda vittima tramite Zoom, fornendo allo stesso hacker un vettore per il furto di credenziali o di informazioni sensibili.

Secondo Zoom, un Vanity URL è un URL personalizzata di un’azienda, come può essere, ad esempio, yourcompany.zoom.us. Questo vanity URL è necessario per la configurazione se si intende attivare l’SSO (Single Sign On). Volendo, è anche possibile brandizzare una vanity page per avere il proprio logo/marchio personalizzato, ma generalmente gli utenti finali non passano dalla vanity page. Solitamente, infatti, gli utenti cliccano direttamente sul link per partecipare a una riunione.

Vanity URL, ecco come gli hacker avrebbero potuto sfruttare la falla di sicurezza

Il potenziale problema di sicurezza scovato da Check Point Software avrebbe consentito a un hacker di manipolare un Vanity URL in due modi:

• Targeting tramite link diretti: durante l’organizzazione di un meeting, l’hacker potrebbe modificare l’URL d’invito per includere un sottodominio registrato a sua scelta. In altre parole, se il link originale è https://zoom.us/j/##########, l’hacker potrebbe cambiarlo in https://<nome dell’organizzazione>.zoom.us/j/#########. Senza una particolare formazione in ambito cybersecurity, sul come riconoscere una URL appropriata, un utente, ricevuto questo invito, potrebbe non riconoscere la sua inautenticità o credere, ingiustamente, che esso sia stato emesso da un’azienda realmente esistente.
• Targeting delle interfacce web dedicate a Zoom: alcune aziende dispongono di una interfaccia web Zoom personalizzata per le conferenze. Un hacker potrebbe prendere di mira tale interfaccia e tentare di reindirizzare un utente verso l’inserimento dell’ID di meeting nel Vanity URL dannoso, piuttosto che nell’interfaccia web reale di Zoom.  Come nel caso degli attacchi tramite link diretti, senza un’attenta formazione in materia di cybersecurity, la vittima di tal tipo di attività fraudolente potrebbe non essere in grado di riconoscere l’URL dannoso e cadere vittima dell’imbroglio.

Le falle di sicurezza in Zoom non sono una novità

I problemi di sicurezza in Zoom non sono di certo una novità. Infatti Check Point Research aveva aiutato Zoom lo scorso gennaio, per risolvere un’altra potenziale vulnerabilità che avrebbe potuto permettere agli hacker di partecipare a un meeting senza essere invitati. La nuova potenziale falla nella sicurezza dei Vanity URL è stata rilevata dai ricercatori che avevano già lavorato alla precedente collaborazione di gennaio.

LEGGI ANCHE: Check Point rileva delle vulnerabilità nelle videoconferenze Zoom

Pierluigi Torriani, Security Engineering Manager, Italy afferma: “Poiché Zoom è diventato uno dei principali canali di comunicazione, a livello mondiale, in ambito business, governativo e consumer, è fondamentale che agli hacker sia impedito di sfruttare Zoom per scopi criminali. Lavorando insieme al team di sicurezza di Zoom, abbiamo aiutato l’azienda a fornire agli utenti di tutto il mondo un’esperienza di comunicazione più sicura, semplice e affidabile, in modo che possano trarre il massimo vantaggio dai benefit dati dal servizio.”