因发现Zoom中高危零日漏洞 两位安全专家获20万美元赏金

红帽社区是一个垂直网络安全社区，融合“红帽先锋”正能量精神，每日分享最新安全资讯，提供安全问答、靶场、众测、漏洞库等功能，是网络安全爱好者学习、交流的优质社区。

在年度黑客大会 Pwn2Own 中，两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行（RCE）漏洞，获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛，主要是让黑客在限定时间内对常用软件、移动设备发起挑战。

举办该活动的目的是为了验证流行的软件、服务、设备都存在缺陷和漏洞，并通过赏金的方式来遏制漏洞的地下交易。这些受到攻击的“targets”自愿提供自己的软件和设备，并对攻击成功者给予奖励。

受雇于网络安全公司 Computest 的 Keuper 和 Alkemade 在本次活动的第二天，通过 3 个漏洞的整合成功接管了一个远程系统。这些漏洞不需要受害者参与互动，只要开启 Zoom 会话就可以了。

这些 Zoom 漏洞适用于 Windows 和 macOS 端，不过网页端 Zoom 并不受影响。目前尚不清楚 Android 和 iOS 端的 APP 是否也存在这些漏洞，因为Keuper和Alkemade并没有对这些进行研究。

Pwn2Own组织在推特上发布了一个gif图，展示了该漏洞的运行情况。你可以看到攻击者在运行Zoom的系统上打开计算器。Calc.exe经常被用作黑客在远程系统上打开的程序，以表明他们可以在受影响的机器上运行代码。

资讯来源：cnBeta