Zoom Vanity URL, kurumların https://<kurum_adı>.zoom.us  formatında özel URL adresleri ve kuruma özel sayfalar oluşturmalarını sağlayan bir özelliktir. CheckPoint araştırmacıları, Zoom’un Vanity URL özelliğinde bir 0-Day güvenlik zafiyeti keşfettiler. Bu zafiyetten yararlanan saldırganlar, bir kurum çalışanı gibi davranarak, kurum ile ilgili hassas bilgilere erişim sağlayabiliyorlar.

Saldırganlar zafiyetten yararlanmak için hedef kurum adıyla https://<kurum_adı>.zoom.us gibi bir özel URL edindikten sonra, kurbanlara çeşitli sosyal mühendislik teknikleriyle bu URL üzerinden bir toplantı bağlantısı göndererek, kurbanların saldırganlar tarafından oluşturulan toplantılara katılmalarını sağlayabiliyorlar. Böylece bir kurum çalışanı gibi davranan saldırgan, aynı toplantı ortamında bulunduğu kurum çalışanları aracılığıyla, hedef kuruma ait hassas bilgiler elde edebiliyor. CheckPoint araştırmacıları; kendine kurum çalışanı imajı veren bir saldırganın, orijinal bağlantı adresi https://zoom.us/j/########## olan bir toplantı için kurum çalışanlarına https://<kurum_adı>.zoom.us/j/##########  gibi bir bağlantı adresi göndererek, kurbanların sahte toplantıya katılmasını sağlayabileceğini belirtiyor.

CheckPoint araştırmacıları tarafından yapılan açıklamada, bu zafiyetin Zoom’a bildirildiği ve Zoom ekibinin zafiyeti giderdiği belirtildi. Ayrıca Zoom, kullanıcılara katılmayı planladıkları herhangi bir toplantıya katılmadan önce, toplantının ayrıntılarını gözden geçirmelerini ve yalnızca güvendikleri bağlantılara katılmalarını önerdi.