Credit image: Freepix
Celah Keamanan Zoom Beri Akses Admin ke Peretas – Ekosistem perangkat lunak Zoom baru-baru ini dilaporkan memiliki serangkaian kerentanan keamanan baru yang dapat memberikan jalan bagi penyerang lokal untuk menguasai sistem Anda.
Mengingat organisasi saat ini sangat bergantung pada alat pertemuan virtual, celah ini menjadi sasaran empuk bagi aktor ancaman untuk melakukan eksploitasi.
Menanggapi temuan ini, Zoom telah bergerak cepat dengan merilis tambalan (patch) untuk tiga celah keamanan berbeda yang berdampak pada Zoom Rooms for Windows, Zoom Workplace VDI Plugin, dan Zoom Workplace for iOS.
Jika dibiarkan tanpa perbaikan, celah yang paling parah memungkinkan pengguna terautentikasi untuk meningkatkan hak istimewa mereka secara diam-diam dan mendapatkan kontrol administratif penuh atas perangkat.
|
Baca juga: Infrastruktur Dunia Terancam Kerentanan Sixnet RTU |
Ancaman Kritis pada Pengguna Windows
Dua kerentanan paling berbahaya ditemukan pada platform Windows. Keduanya dilaporkan kepada Zoom oleh seorang peneliti keamanan dan diklasifikasikan sebagai ancaman dengan tingkat keparahan tinggi.
Berikut adalah detail teknis dari kedua celah tersebut:
- CVE-2026-30906 (Zoom Rooms Installer): Celah ini berasal dari kelemahan jalur pencarian yang tidak tepercaya (untrusted search path). Masalah terjadi ketika program tidak memverifikasi direktori yang digunakannya untuk memuat file kritis secara benar. Penyerang lokal dapat menanamkan kode berbahaya di jalur tersebut untuk meningkatkan hak istimewa mereka ke level admin.
- CVE-2026-30905 (Zoom Workplace VDI Plugin): Kerentanan ini ditemukan pada Windows Universal Installer. Celah ini melibatkan kontrol eksternal terhadap nama atau jalur file. Dengan memanipulasi cara penginstal menangani jalur file saat proses penyiapan, penyerang dapat memaksa sistem untuk mengeksekusi perintah yang tidak sah.
Kedua celah ini memungkinkan pengguna standar di sebuah komputer untuk “naik kasta” menjadi administrator, yang merupakan pintu masuk bagi serangan lebih lanjut seperti pemasangan malware atau pencurian data perusahaan.
Kerentanan pada Perangkat iOS
Selain Windows, pengguna perangkat Apple juga menghadapi risiko melalui CVE-2026-30904 yang berdampak pada aplikasi Zoom Workplace for iOS.
Namun, berbeda dengan varian Windows, celah ini memiliki tingkat keparahan rendah (skor CVSS 1.8) karena hambatan teknis yang lebih tinggi untuk mengeksploitasinya.
Berdasarkan laporan dari peneliti keamanan, eksploitasi celah ini membutuhkan akses fisik langsung ke perangkat iOS tersebut.
Jika berhasil, penyerang dapat mem-bypass mekanisme perlindungan aplikasi untuk memaksa Zoom membocorkan informasi sensitif.
Karena membutuhkan akses fisik dan hak istimewa tinggi, risiko bagi pengguna umum dinilai lebih kecil dibandingkan versi desktop.
|
Baca juga: Segera Update Google Chrome untuk Hindari Serangan Peretas |
Langkah Mitigasi Sistem
Untuk mencegah pengambilalihan sistem dan kebocoran data, pengguna dan administrator sistem sangat disarankan untuk segera melakukan langkah-langkah berikut:
- Segera unduh dan pasang versi terbaru Zoom langsung dari portal resmi Zoom atau melalui fitur pembaruan di dalam aplikasi.
- Bagi organisasi, terapkan kebijakan manajemen tambalan (patch management) yang cepat untuk memastikan seluruh titik akhir (endpoints) di jaringan perusahaan selalu menggunakan versi perangkat lunak yang paling aman.
- Pastikan pengguna di kantor tidak menggunakan akun dengan hak akses administrator untuk aktivitas sehari-hari. Hal ini dapat meminimalkan dampak jika terjadi eksploitasi peningkatan hak istimewa seperti CVE-2026-30906.
- Untuk pengguna iOS, selalu gunakan kunci layar yang kuat (PIN atau biometrik) dan jangan meninggalkan perangkat di tempat umum tanpa pengawasan guna mencegah akses fisik yang tidak sah.
Keamanan Kolaborasi Digital
Insiden ini mengingatkan kita bahwa alat kolaborasi yang kita gunakan setiap hari adalah target yang terus dipantau oleh para peretas.
Kecepatan Zoom dalam merilis perbaikan adalah langkah positif, namun tanggung jawab akhir tetap ada pada pengguna untuk menerapkan pembaruan tersebut.
Di tahun 2026, memastikan setiap perangkat lunak komunikasi tetap mutakhir bukan lagi sekadar pilihan, melainkan keharusan untuk menjaga integritas data pribadi dan profesional Anda.
Sumber berita:
