Morphisec公司的IT安全研究人员最近在Zoom中发现一个严重的漏洞。如成功利用该漏洞，攻击者可录制实况Zoom会议和音频对话。

更糟的是，即便会议主持人对参会者禁用了录制功能，攻击者依然可以实行录制。所有这些操作都是在主持人不知情的情况下，或未得到主持人许可的情况下进行的。

Morphisec公司的研究人员Daniel Petrillo在一篇文章中写道，“该攻击无需用户的交互，即便会议主持人未允许参会者录制，攻击者也可以借助恶意软件逃避检测，向Zoom进程注入代码。以这种方式录制，所有参会者都不会注意到会话遭到录制，同时该恶意软件还可完全控制输出。”

该漏洞不仅会招致恶意软件攻击，攻击还可借此机会对企业发动大规模的间谍活动，窃取秘密或凭据等。

并且，由于无数的Zoom账户已经被挂在暗网上售卖，攻击者只需要登录账户，执行攻击即可。

Morphisec公司发布了一段视频，展示如何进行攻击。

好消息是，Morphisec公司的研究人员已经通知Zoom公司该漏洞的信息，然而，目前尚不清楚Zoom是否修复了该漏洞。因此，建议Zoom用户采用以下预防措施，保护自己免遭黑客攻击。

1.   对所有用户默认实行复杂的Zoom会议密码；

2.   凭据填充在业内是个已知的问题，Zoom应用程序是黑客的目标之一；

3.   建议用户（和普通消费者）不要重复使用在其他应用程序和网站上的密码，并通过HaveIbeenPwned和AmIbreached.com等网站服务监控可能的数据入侵；

4.   如有可能，实行多因素身份认证机制；

5.   鼓励组织考虑使用数据入侵监控解决方案，以减少暴露窗口，降低风险；

Morphisec公司对外媒Hackread表示，不只是Zoom，所有的Windows应用程序都容易受到此类攻击。执行此类攻击要求用户自己在计算机上安装一个恶意软件。一旦运行后，该恶意软件就会控制和修改任何本地执行的应用程序的行为，包括Zoom。

本文源自Hack Read；转载请注明出处。