Ζουμ Workplace για Windows Ευπάθειες Επιτρέπουν την κλιμάκωση προνομίων

Το Zoom κυκλοφόρησε τέσσερα ενημερωτικά δελτία ασφαλείας στις 10 Μαρτίου 2026, αποκαλύπτοντας πολλαπλές ευπάθειες σε όλη τη σουίτα πελατών που βασίζεται σε Windows.

Τα ελαττώματα, που κυμαίνονται από υψηλή έως κρίσιμη σοβαρότητα, θα μπορούσαν να επιτρέψουν στους εισβολείς να κλιμακώσουν τα προνόμια στα επηρεαζόμενα συστήματα, με ένα κρίσιμο ελάττωμα που μπορεί να εκμεταλλευτεί από μη πιστοποιημένους απομακρυσμένους εισβολείς χωρίς προηγούμενη πρόσβαση στο σύστημα.

Η πιο σοβαρή ευπάθεια, η οποία παρακολουθείται ως CVE-2026-30903 (ZSB-26005), ταξινομείται ως Κρίσιμη και στοχεύει τη δυνατότητα αλληλογραφίας στο Zoom Workplace για Windows.

Το ελάττωμα προέρχεται από τον εξωτερικό έλεγχο του ονόματος αρχείου ή της διαδρομής, μια αδυναμία που επιτρέπει σε έναν εισβολέα να χειριστεί τις αναφορές αρχείων για να εκτελέσει μη εξουσιοδοτημένες λειτουργίες. Ένας χρήστης χωρίς έλεγχο ταυτότητας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια μέσω της πρόσβασης στο δίκτυο για να κλιμακώσει τα προνόμια στα επηρεαζόμενα συστήματα.

Το διάνυσμα CVSS επιβεβαιώνει ότι η επίθεση δεν απαιτεί έλεγχο ταυτότητας και μπορεί να εκκινηθεί από απόσταση, καθιστώντας την την πιο επικίνδυνη από τις τέσσερις αποκαλύψεις. Επηρεάζονται όλες οι εγκαταστάσεις Zoom Workplace για Windows που εκτελούνται εκδόσεις πριν από την 6.6.0.

Ευπάθειες διαχείρισης προνομίων και επικύρωσης εισόδου

Τρεις επιπλέον ευπάθειες υψηλής σοβαρότητας συμπληρώνουν την παρτίδα αποκάλυψης. Το CVE-2026-30902 (ZSB-26004) επηρεάζει τα προγράμματα-πελάτες Zoom για Windows και περιλαμβάνει ακατάλληλη διαχείριση προνομίων, όπου τα εσφαλμένα εκχωρημένα δικαιώματα χρήστη θα μπορούσαν να χρησιμοποιηθούν για την απόκτηση μη εξουσιοδοτημένης αυξημένης πρόσβασης.

Το CVE-2026-30901 (ZSB-26003) στοχεύει στο Zoom Rooms για Windows και περιλαμβάνει Εσφαλμένη επικύρωση εισόδου, μια κατηγορία ευπάθειας που επιτρέπει σε εσφαλμένες ή απροσδόκητες εισόδους να ενεργοποιούν ανεπιθύμητες συμπεριφορές, συμπεριλαμβανομένης ενδεχομένως της εκτέλεσης κώδικα ή των αλλαγών προνομίων.

Το CVE-2026-30900 (ZSB-26002) επηρεάζει τους υπολογιστές-πελάτες του Zoom Workplace για Windows και περιγράφεται ως ελάττωμα ακατάλληλου ελέγχου, υποδηλώνοντας μια αποτυχία στη λογική επαλήθευσης που θα μπορούσε να χρησιμοποιηθεί για την παράκαμψη των στοιχείων ελέγχου πρόσβασης.

Το Zoom επιδιορθώνει με συνέπεια παρόμοια ζητήματα κλιμάκωσης προνομίων από την πλευρά των Windows σε πρόσφατους κύκλους, συμπεριλαμβανομένου ενός Critical CVE-2025-49457 (CVSS 9.6) που αποκαλύφθηκε τον Αύγουστο του 2025, το οποίο επέτρεψε επίσης την κλιμάκωση προνομίων χωρίς έλεγχο ταυτότητας σε πολλούς υπολογιστές-πελάτες Windows.

Μετριασμούς

Το Zoom έχει εκδώσει ενημερώσεις κώδικα που αντιμετωπίζουν και τα τέσσερα τρωτά σημεία. Οι οργανισμοί και οι μεμονωμένοι χρήστες θα πρέπει να λάβουν αμέσως τα ακόλουθα βήματα:

• Ενημερώστε όλες τις εγκαταστάσεις Zoom Workplace για Windows στην έκδοση 6.6.0 ή νεότερη.
• Ενημερώστε τα Zoom Rooms για Windows και τα Zoom Clients για Windows στην πιο πρόσφατη διαθέσιμη έκδοση.
• Κατεβάστε ενημερώσεις απευθείας από την επίσημη πύλη λήψης του Zoom στη διεύθυνση zoom.us/download.
• Δώστε προτεραιότητα στην επιδιόρθωση των τελικών σημείων όπου χρησιμοποιείται ενεργά το Zoom Workplace, ιδιαίτερα σε περιβάλλοντα εικονικής επιφάνειας εργασίας με ένταση ηλεκτρονικού ταχυδρομείου ή για επιχειρήσεις.
• Ελέγξτε τις διαμορφώσεις προνομίων χρήστη εντός των αναπτύξεων του Zoom για να περιορίσετε την ακτίνα έκρηξης σε περίπτωση εκμετάλλευσης.
• Παρακολουθήστε την κυκλοφορία δικτύου για ανώμαλα μοτίβα πρόσβασης αρχείων που σχετίζονται με το ζουμ που μπορεί να υποδεικνύουν απόπειρες εκμετάλλευσης έναντι του CVE-2026-30903.

Το Zoom προτρέπει όλους τους χρήστες των Windows για να εφαρμόσετε αυτές τις ενημερώσεις χωρίς καθυστέρηση, σημειώνοντας ότι δεν υπάρχουν πρόσθετοι μετριασμούς εκτός της αναβάθμισης στην ενημερωμένη έκδοση.