Scoperta una vulnerabilità zero-day in Zoom: valutata 500.000 dollari. L'azienda smentisce

“Dalle stelle alle stalle”. Così potrebbe essere riassunta la recente parabola di Zoom, la popolare piattaforma per le videoconferenze.
Come abbiamo riportato nei giorni scorsi, diverse problematiche sono state scoperte in Zoom con gli sviluppatori che hanno dovuto “fare gli straordinari” per risolverle in tempi brevi: Zoom risolve il problema di sicurezza legato alla gestione degli indirizzi UNC.

In queste ore diverse fonti hanno confermato che soggetti sconosciuti hanno messo in vendita il codice exploit per sfruttare una falla zero-day scoperta in Zoom.
Gli zero-day sono vulnerabilità che non sono ancora state risolte dagli sviluppatori di una specifica soluzione software e che consentono ai criminali informatici di attaccare qualunque installazione.

Il codice exploit riguarda il client desktop per Windows e verrebbe commercializzato a 500.000 dollari confermando la gravità del problema.
Stando alle prime analisi, infatti, la falla di sicurezza presente in Zoom potrebbe essere sfruttata anche per finalità di spionaggio industriale: il bug può essere infatti utilizzato per eseguire codice arbitrario sui sistemi Windows che usano l’applicazione per le videoconferenze.

Stando a quanto viene riferito, inoltre, Zoom soffrirebbe di una seconda vulnerabilità zero-day che interessa i sistemi macOS. La sua gravità sarebbe comunque inferiore rispetto a quella rilevata nel client per Windows.

“Zoom prende molto sul serio il tema della sicurezza degli utenti. Da quando siamo venuti a conoscenza di queste voci, abbiamo lavorato 24 ore su 24 con un’azienda di sicurezza affidabile e leader del settore per indagare sulle presunte vulnerabilità“, si legge in un commento dell’azienda. “Finora non abbiamo trovato alcuna prova a sostegno di queste affermazioni“.

Nel frattempo, il Dipartimento di Giustizia degli Stati Uniti ha voluto mettere nero su bianco che la pratica dello Zoombombing è da considerarsi illegale. Chi si introduce nei meeting online altrui senza essere invitato causando problemi, creando confusione, provocando danni all’immagine altrui (magari registrando la sessione video e ripubblicandola altrove) può essere chiamato a risponderne in tribunale: Zoom bombing: cos’è e come funziona l’attacco.