黑客50万美元售卖Zoom零日漏洞，远程办公揭开安全伤疤

近日，办公软件Zoom存在重大安全漏洞的的消息引发各界关注：数以万计的私人Zoom视频被上传至公开网页，任何人都可在线围观。有人还在暗网上销售了超过50万个Zoom账户。

美国时间4月15日，外媒BleepingComputer又发出了一个爆炸性新闻：比在线围观可能导致的商业机密泄露、拖走账户密码更可怕的是，黑客顺手把Zoom Windows客户端零日漏洞的利用方法以50万美元的价格出售。

据报道称，这个零日漏洞是一个远程代码执行漏洞，潜在的攻击者可以在运行 Zoom Windows 客户端的系统上执行任意代码，如果再加上其他漏洞，甚至可以完全控制用户的设备。

零日漏洞的威力可不小，它是受影响的软件或硬件供应商尚未修补的漏洞，连提供者都没发现和修补，更别提暂时有什么安全措施可以防护了。

也就是说，如同“裸奔”的用户此时面对手持“刀枪”的黑客，用户电脑上的信息一览无余，黑客想干嘛就干嘛。然后，黑客还把这种“定制化武器”出售给别人，想想就可怕。

疫情期间远程办公的广泛需求揭开了办公安全的伤疤。事实上，不只是这类远程在线会议软件，办公安全早就痛过了。

2019年5月，安全情报公司Trend Micro称，网络犯罪分子利用Atlassian公司生产的办公软件Confluence的漏洞进行挖矿攻击。这个漏洞允许网络罪犯在计算机上偷偷安装和运行门罗币挖矿软件，并隐藏恶意软件的网络活动来掩盖挖矿行为。

3个月前，安全人员发现了微软office的两个高危漏洞，这两个漏洞会导致用户的主机被远程控制。Office办公软件是最基本的办公软件，一旦漏洞被不法分子发现或利用，用户个人隐私甚至是财产、人身安全都将受到威胁。

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。