黑客50万美元出售Zoom 0 day漏洞

安全
近日,又有黑客在暗网出售影响Zoom Windows客户端的0 day远程代码执行漏洞利用代码,售价为50万美元。同时还附送一个Zoom macOS客户端的漏洞滥用代码。

今年以来,Zoom日活跃用户已经超过2亿人,与去年年底相比翻了20倍。但黑客和安全研究人员在zoom客户端中发现了一系列的安全问题。3月底,在被爆收集和发送设备信息到Facebook服务器后,Zoom从iOS app版本中移除了Facebook SDK。4月,有黑客在暗网论坛出售超过50万的Zoom账户,差不多一个账号0.00014元,1分钱能买71个。Zoom修复了一个macOS客户端的安全漏洞,攻击者利用该漏洞可以窃取用户的Windows NTLM凭证来远程启动可执行文件。

[[322559]]

Zoom 0 day漏洞

近日,又有黑客在暗网出售影响Zoom Windows客户端的0 day远程代码执行漏洞利用代码,售价为50万美元。同时还附送一个Zoom macOS客户端的漏洞滥用代码。

这样的漏洞利用是没有固定价格的,国外漏洞交易平台Zerodium对此类漏洞利用的报价为2000到250万美元,具体价格根据受影响的软件或系统的流行程度、安全等级,以及提交的漏洞利用的质量不同而不同。

目前漏洞利用和源码还没有公开,熟悉0 day漏洞利用市场的相关人士介绍称,已有漏洞交易代理商业与之联系购买漏洞。漏洞交易平台Netragard创始人Adriel Desautels称出售的2个0 day漏洞一个影响macOS,另一个影响Windows系统。

Windows 0 day漏洞是一个远程代码执行漏洞,攻击者利用该漏洞可以在受影响的系统上远程执行任意代码,与其他漏洞组合可以完全控制设备。有知情人士称50万美元的价格是公正的,因为该漏洞可以用于大规模监控。该漏洞要求潜在攻击者与目标在同一会话中,这就减少了购买漏洞的黑客的范围。也有匿名知情人士称,该漏洞的价格应该降低一半。

MacOS漏洞利用并不是一个远程代码执行漏洞,因此其危险性并没有Windows 0 day漏洞高,而且很难用于现实的攻击场景中。

Zoom回应

Zoom发表声明称,Zoom非常重视用户安全和隐私。在听到这些“谣言”后,Zoom安全团队就与其他知名安全公司开展合作,但截至目前尚未发现相关的安全漏洞。

此外,月初,Zoom还加入了一个Waiting Room(等候室)的功能,实现对要加入会议的参与者的控制,而且在安排会议时要输入口令,并且在标题中移除了会议的meeting ID。

 

责任编辑:赵宁宁 来源: 嘶吼网
相关推荐

2021-07-15 10:17:14

黑客漏洞网络犯罪论

2013-07-16 09:38:50

2021-01-14 09:27:05

黑客源代码网络攻击

2022-07-25 15:22:21

Twitter漏洞黑客

2021-12-02 18:13:48

漏洞黑客攻击

2020-10-09 07:49:17

黑客

2012-12-13 18:23:57

2020-06-15 15:52:00

恶意软件黑客网络攻击

2022-12-27 15:27:59

2021-01-13 14:59:31

Windows操作系统功能

2021-06-15 13:54:57

黑客网络安全网络攻击

2012-03-24 21:09:38

2013-04-03 13:08:54

2024-06-27 12:29:03

2022-01-21 10:36:36

区块链加密货币安全

2015-10-20 09:31:39

2021-02-07 00:05:27

谷歌漏洞网络安全

2021-03-15 09:50:01

漏洞网络安全网络攻击

2020-04-16 11:01:09

漏洞网络安全网络攻击

2011-03-25 09:31:03

北电微软域名
点赞
收藏

51CTO技术栈公众号