CVE-2020-11500

Zoom Client for Meetings, versões 4.6.9 e anteriores

Microsoft Office 365 (versões afetadas não especificadas)

O problema diz respeito ao uso do modo ECB do AES para criptografia, o que pode revelar informações estruturais sobre mensagens criptografadas. No caso do Zoom Client for Meetings, todos os participantes de uma reunião utilizam uma única chave de 128 bits para criptografia de vídeo e áudio. Da mesma forma, a criptografia de mensagens do Microsoft Office 365 utiliza o modo ECB, permitindo que invasores possam determinar o conteúdo das mensagens criptografadas por meio da análise de padrões. Esse problema já havia sido identificado em 2013 e novamente em 2020. Foi relatado que a Microsoft está ciente do problema desde janeiro de 2022, mas ainda não lançou uma correção, embora esteja trabalhando para adicionar um protocolo de criptografia alternativo às futuras versões do produto.

Para o Zoom Client for Meetings versões 4.6.9 e anteriores: atualize para uma versão que utilize um modo de operação seguro para criptografia AES.

Para o Microsoft Office 365: como solução temporária, considere usar métodos ou serviços de criptografia alternativos até que um patch esteja disponível. Restrinja o acesso a informações confidenciais enviadas pelo Office 365 para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente do Microsoft Office 365 que contenha uma correção para essa vulnerabilidade.