Vulnerabilidad de Zoom permitió descifrar contraseñas de reuniones privadas

La falta de limitación en los intentos de inicio de sesión permitió a los atacantes potenciales descifrar el código de acceso numérico en Zoom. Este código es utilizado para asegurar las reuniones privadas de Zoom. El incidente lo reveló Tom Anthony, vicepresidente de productos de SearchPilot.

“Las reuniones de Zoom están (estaban) protegidas por defecto con una contraseña numérica de 6 dígitos. Esto significa 1 millón de contraseñas como máximo”, como descubrió Anthony.

La vulnerabilidad que se observó en el cliente web de Zoom permitió a los atacantes adivinar la contraseña de cualquier reunión. La obtuvieron al intentar todas las combinaciones posibles hasta encontrar la correcta.

So a few months ago I realised Zoom doesn’t rate limit password attempts for meetings, and has only 1 million passwords. Meaning you could join private meetings within minutes. 😮 https://t.co/NDUEmzUprX

— Tom Anthony (@TomAnthonySEO) July 29, 2020

Obtener contraseñas de reuniones en minutos

“Esto permite que un atacante intente todos los 1 millón de contraseñas en cuestión de minutos. Posteriormente obtenía acceso a las reuniones de Zoom privadas (protegidas por contraseña) de otras personas”.

“Esto también plantea la inquietante pregunta sobre si otros atacantes potencialmente ya estaban utilizando esta vulnerabilidad para obtener el acceso no autorizado a reuniones”.

Dado que los atacantes no tendrían que revisar la lista completa de 1 millón de contraseñas posibles, esto acortaría drásticamente el tiempo necesario para descifrarlas.

Además, las reuniones periódicas, incluidas el ID de reuniones personales (PMI), siempre tendrán el mismo código de acceso. Por lo tanto, los atacantes solo tendrán que descifrarlas una vez y obtener acceso permanente a futuras sesiones.

Como Anthony pudo demostrar, pudo descifrar la contraseña de una reunión (incluidas las reuniones programadas) en 25 minutos. Lo hizo después de verificar 91,000 contraseñas utilizando una máquina AWS.

“Con una mejora en el subprocesamiento. Además, si lo distribuyes a través de 4-5 servidores en la nube, puedes verificar el espacio completo de la contraseña en unos minutos”, agregó.

Zoom abordó el problema en una semana

Anthony informó el problema del cliente web de Zoom a la compañía el 1 de abril de 2020, junto con una prueba de concepto de Python. Esto para mostrar cómo los atacantes podían abrirse paso por fuerza bruta en cualquier reunión protegida por contraseña.

Después de su informe, Zoom eliminó el cliente web a partir del 2 de abril para abordar la vulnerabilidad. En aquel momento reportamos que el cliente web de Zoom estaba pasando por una interrupción y que los usuarios informaban errores 403 Forbidden’.

Al día siguiente, la compañía agregó un informe de incidentes en su página oficial. Ahí afirmaban: “Zoom colocará al cliente web en modo de mantenimiento y desconectará esta parte del servicio”.

Una semana más tarde, Zoom abordó el problema de limitación de intentos de inicio de sesión. Esto al “exigir que un usuario iniciara sesión para unirse a reuniones en el cliente web, además debía actualizar las contraseñas de reunión predeterminadas para que no fuesen numéricas y serían más largas”.

Al enterarnos de este problema en abril, retiramos inmediatamente el cliente web de Zoom para garantizar la seguridad de nuestros usuarios mientras implementamos mitigaciones. Desde entonces, hemos mejorado la limitación de velocidad, hemos abordado los problemas del token CSRF y relanzamos el cliente web el 9 de abril. Con estas soluciones, el problema se resolvió por completo y no se requirió ninguna acción del usuario. No tenemos conocimiento de ninguna instancia de este exploit que se use en el entorno. Agradecemos a Tom Anthony por informarnos sobre este tema. Si crees que has encontrado un problema de seguridad con los productos Zoom, envía un informe detallado a [email protected]. – Zoom

Problemas de seguridad anteriores de Zoom

Desde principios de 2020, Zoom se vio afectado por una serie de problemas que tuvieron que parchear una vulnerabilidad de seguridad en enero. La vulnerabilidad habría permitido a los atacantes identificar y unirse a las reuniones de Zoom sin protección al adivinar sus ID de reunión de Zoom.

En abril, se informó que un exploit para una vulnerabilidad de ejecución remota de código zero-day en el cliente Zoom Windows. El exploit se vendía por $500,000, junto con uno diseñado para explotar una vulnerabilidad en el cliente Zoom macOS.

Más de 500,000 cuentas de Zoom se pusieron a la venta en foros de hackers. También estaban disponibles en la web oscura por menos de un centavo cada una a mediados de abril. En algunos casos, se regalaron gratuitamente para ser utilizadas en bromas de zoombombing.

A principios de julio, Zoom también corrigió una vulnerabilidad zero-day en el cliente de conferencia web. La vulnerabilidad habría permitido a los atacantes ejecutar comandos de forma remota en sistemas vulnerables de Windows 7.

El fundador y CEO de Zoom, Eric S. Yuan, dijo en abril que la plataforma de videoconferencia superó los 300 millones de participantes diarios.