Zalo PC gặp lỗi RCE nghiêm trọng, người dùng nên cẩn thận khi nhận tập tin đính kèm

Mới đây, nhóm nghiên cứu bảo mật CyberJutsu đã công bố 3 lỗ hổng trên phần mềm nhắn tin Zalo PC. Các lỗ hổng lần lượt được đặt tên là ZAL-01-001, ZAL-01-002 và ZAL-01-003. Trong đó, ZAL-01-001 và ZAL-01-002 được đánh giá là có mức độ nguy hiểm thấp còn ZAL-01-003 được coi là lỗ hổng nghiêm trọng.

• Lỗ hổng ZAL-01-001: Lỗi UI, tên tập tin quá dài sẽ tràn ra khỏi khung chat
• Lỗ hổng ZAL-01-002: Lỗi UI, hiển thị icon loại file không chính xác
• Lỗ hổng ZAL-01-003: Blacklist file extension không chặt chẽ tạo điều kiện cho một cuộc tấn công RCE

Với lỗ hổng ZAL-01-003, hacker có thể gửi file chứa mã độc cho nạn nhân thông qua tin nhắn cá nhân hoặc tin nhắn nhóm. Khi nạn nhân nhấp vào file, tập tin sẽ được tải về và chạy, mã độc cũng ngay lập tức được thực thi. Trong trường hợp xấu nhất, hacker có thể lợi dụng tính năng này để thực hiện cuộc tấn công thực thi mã từ xa (RCE) nhằm kiểm soát máy tính của nạn nhân hoặc triển khai các cuộc tấn công khác với mục đích trục lợi.

Để chứng minh, CyberJutsu đã xâu chuỗi các lỗ hổng này lại với nhau và tiến hành một cuộc tấn công RCE vào máy tính của nạn nhân giả định. Cụ thể, CyberJutsu giấu một file VBE chứa payload reverse shell với tên file đủ dài để làm tràn extension thật ra ngoài khung chat đồng thời đánh lừa ứng dụng chọn icon loại file sai thông qua việc thay đổi giá trị của trường "extension".

File này được gửi tới nạn nhân và nó hiển thị như một tập tin PDF đính kèm thông thường. Khi nạn nhân kích và file, payload VBE sẽ được tải về và thực thi ngay lập tức. Mã độc được kích hoạt giúp CyberJutsu có thể đánh cắp các thông tin trên máy tính của nạn nhân (nội dung tập tin Notepad trên màn hình được tạo ra với mục đích demo phương thức khải thác lỗ hổng).

Bạn có thể xem video demo phương thức khai thác các lỗ hổng Zalo PC của CyberJutsu tại đây:

CyberJutsu đã thông báo về các lỗ hổng này cho Zalo vào cuối tháng 7/2020. Ngày 30/8/2020, phía Zalo phản hồi lại rằng lỗ hổng ZAL-01-003 trùng lặp với một lỗ hổng đã được Zalo tìm ra vào tháng 03/2020. Hai lỗ hổng còn lại được Zalo ghi nhận và tiến hành sửa lỗi.

Tuy nhiên, theo CyberJutsu, cách sửa lỗi của Zalo vẫn chưa triệt để, vẫn bỏ lọt các định dạng file nguy hiểm. Tới 23/10/2020, Zalo bổ sung thêm rằng họ ghi nhận những đóng góp tiếp theo của CyberJutsu và đã tạo ra bản vá tạm thời vào ngày 01/8/2020. Bản vá hoàn chỉnh cũng đã được Zalo tung ra vào ngày 01/10/2020.

Trên trang web chuyên về bảo mật của mình, Zalo cũng đã có lời cảm ơn tới CyberJutsu trong việc tìm kiếm, hỗ trợ để giữ cho các sản phẩm của Zalo an toàn. Zalo cũng đã có quà tặng gửi tới CyberJutsu.

Hiện tại, CyberJutsu vẫn đang phối hợp với Zalo để xác định và khắc phục một số lỗ hổng bảo mật khác. Do điều khoản bảo mật, những lỗ hổng này vẫn chưa được phép công bố.

Xem chi tiết về các lỗ hổng qua báo cáo của CyberJutsu:

• Zalo Penetration Testing - 07.2020

Xem thêm các tips hay về zalo: