Dos vulnerabilidades críticas permiten hackear zoom a través del chat

Si estás utilizando Zoom durante este momento difícil para hacer frente a tu escolaridad, negocio o compromiso social, asegúrate de estar ejecutando la última versión. Es imperativo que utilices la última versión de este popular software de videoconferencia en tus computadoras Windows, macOS o Linux.

No, no se trata de la llegada de la función de cifrado de extremo a extremo “real” más esperada. Esta nueva función aparentemente, según las últimas noticias, ahora solo estaría disponible para los usuarios de pago.

En cambio, esta última advertencia trata sobre dos vulnerabilidades críticas recientemente descubiertas.

Investigadores de ciberseguridad de Cisco Talos revelaron hoy que descubrieron dos vulnerabilidades críticas en el software Zoom. Esto podría haber permitido a los atacantes hackear los sistemas de participantes de chat grupal o un destinatario individual de forma remota.

Ambas fallas en cuestión son vulnerabilidades de recorrido de ruta que pueden explotarse para escribir o plantar archivos arbitrarios en los sistemas. Esto funciona en sistemas que ejecutan versiones vulnerables del software de videoconferencia. Todo esto les permite ejecutar código malicioso.

Explotación

Según los investigadores, la explotación exitosa de ambas vulnerabilidades requiere poca o ninguna interacción por parte de los participantes de chat específicos. Estas pueden ejecutarse simplemente enviando mensajes especialmente diseñados a través de la función de chat a un individuo o grupo.

La primera vulnerabilidad de seguridad (CVE-2020-6109 ) reside en la forma en que Zoom aprovecha el servicio GIPHY, recientemente comprado por Facebook. Esta adquisición de Facebook permite a los usuarios de Zoom buscar e intercambiar GIF animados mientras chatean.

Los investigadores encontraron que la aplicación de Zoom no verificó si un GIF compartido se está cargando desde el servicio Giphy o no. Dicho “desliz” permite que un atacante incruste GIF desde un servidor controlado por atacantes de terceros.  Por el diseño de zoom, para el caché/almacenamiento en el sistema de los destinatario, usa una carpeta específica asociada con la aplicación.

Además de eso, dado que la aplicación tampoco limpiaba los nombres de los archivos, podría haber permitido a los atacantes lograr el recorrido del directorio,. Así, el atacante engañaba a la aplicación para que guardara archivos maliciosos disfrazados de GIF en cualquier ubicación del sistema de la víctima. Por ejemplo, la carpeta de inicio.

La segunda es una vulnerabilidad de ejecución remota de código (CVE-2020-6110). Esta radica en la forma en que las versiones vulnerables de Zoom procesan los fragmentos de código que se compartían en el chat.

Estándar XMPP

“La funcionalidad de chat de Zoom está construida sobre el estándar XMPP con extensiones adicionales para admitir la rica experiencia del usuario. Una de esas extensiones admite una función que incluye fragmentos de código fuente que tienen soporte para resaltar la sintaxis completa.

 

La función para enviar fragmentos de código requiere la instalación de un complemento adicional, pero para recibirlos no. Esta característica se implementa como una extensión del soporte para compartir archivos”, según dijeron los investigadores.

Característica

Esta característica crea un archivo zip del fragmento de código compartido antes de enviarlo y luego lo descomprime automáticamente en el sistema del destinatario.

Según los investigadores, la función de extracción del archivo zip de Zoom no valida el contenido del archivo zip antes de extraerlo. Esto permite al atacante plantar binarios arbitrarios en computadoras específicas.

“Además, un problema de recorrido parcial de la ruta permite que el archivo zip especialmente diseñado escriba archivos fuera del directorio generado aleatoriamente”. Esto según afirman los investigadores.

Los investigadores probaron ambas vulnerabilidades en la versión 4.6.10 de la aplicación cliente Zoom y lo informaron de manera responsable a la empresa.

Lanzado el mes pasado, Zoom parchó ambas vulnerabilidades críticas con el lanzamiento de la versión 4.6.12 de su software de videoconferencia. Las vulnerabilidades fueron parcheadas en computadoras Windows, macOS y Linux.

Deja un comentario