據外媒報導，兩位荷蘭白帽安全專家參加了一年一度的電腦黑客大賽Pwn2Own，成功找到了Zoom的遠程代碼執行（RCE）漏洞，並且獲得了20萬美元的獎勵。

Pwn2Own

Pwn2Own是”零日倡議”組織的一項高規格活動，挑戰黑客在常用軟件和移動設備中發現新的嚴重漏洞。舉辦該活動的目的是為了證明流行的軟件和設備都有缺陷和漏洞，並為漏洞的地下交易提供一個平衡點。

“目標”自願提供自己的軟件和設備，並對攻擊成功者給予獎勵。粉絲們會看到一場黑客奇觀，成功的黑客會得到嘉獎和不菲的現金（在這種情況下，獎勵高達20萬美元），而廠商們則會找到令人討厭的漏洞。

Pwn2Own 2021從4月6日至4月8日舉行。今年活動的重點是在家工作（WFH）時使用的軟件和設備，包括Microsoft Teams和Zoom，原因顯而易見。

白帽子

受僱於網絡安全公司Computest的Keuper和Alkemade在Pwn2wn活動的第二天結合三個漏洞接管了一個遠程系統。這些漏洞不需要受害者的互動。他們只需要在一次Zoom通話中。

漏洞

本著負責任的披露態度，該方法的全部細節一直處於保密狀態。我們知道的是，這是遠程代碼執行（RCE）漏洞：作為一類軟件安全漏洞，允許惡意行為者通過局域網、廣域網或互聯網在遠程機器上執行他們選擇的代碼。

該方法在Windows和Mac版本的Zoom軟件上有效，但不影響瀏覽器版本。目前還不清楚iOS-和Android-app是否存在漏洞，因為Keuper和Alkemade並沒有對這些進行研究。

Pwn2Own組織在推特上發布了一張gif圖，展示了該漏洞的運行情況。你可以看到攻擊者在運行Zoom的系統上打開計算器。Calc.exe經常被用作黑客在遠程系統上打開的程序，以表明他們可以在受影響的機器上運行代碼。

可以理解的是，Zoom還沒來得及針對該漏洞發布補丁。他們有90天的時間來發布該漏洞的細節，但預計他們會在這一時期結束之前完成。研究人員在Pwn2Own活動的第二天就發現了這個漏洞，並不意味著他們在這兩天就想通了。他們會投入幾個月的研究來尋找不同的漏洞，並將它們組合成RCE攻擊。

安全工作做得好

這個事件，以及圍繞它的程序和協議，很好地展示了白帽黑客的工作方式，以及負責任的信息披露意味著什麼。在以補丁的形式為每個人提供現成的保護之前，將細節留給自己（理解為供應商會儘自己的責任，並迅速製作補丁）。

緩解措施

目前，只有這兩名黑客和Zoom知道這個漏洞的工作原理。只要保持這樣的狀態，Zoom用戶就沒有什麼好擔心的。對於那些擔心的人來說，據說瀏覽器版本是不會受到這個漏洞的影響的。對於其他的人來說，將需繼續關注補丁，在補丁出來後儘早更新。

4月9日更新

Zoom回應了有關Pwn2Own活動的文章。

“我們感謝零日計劃允許我們贊助並參與Pwn2Own溫哥華2021大賽，這是一項突出安全研究人員所做的關鍵性和技能性工作的活動。我們非常重視安全問題，非常感謝Computest的研究。

我們正在努力緩解我們的群組消息產品Zoom Chat的這一問題。Zoom Meetings 和Zoom Video Webinars 中的會話聊天不受此問題影響。攻擊還必須來自於已接受的外部聯繫人，或者是目標的同一組織賬戶的一部分。

作為最佳實踐，Zoom建議所有用戶只接受來自他們認識和信任的個人的聯繫請求。如果您認為自己發現了Zoom產品的安全問題，請將詳細的報告發送給我們信任中心的漏洞披露計劃。”