Más fallos de seguridad en Zoom, actualiza para borrarlas

Convertida en la aplicación para videoconferencias favorita durante el período de confinamiento que vivimos, ZOOM está siendo también muy criticada debido a sus problemas de seguridad que permiten ‘colarse’ en mitad de reuniones de personas sin estar invitado/a a ellas. El pasado 1 de abril se descubrió un error en el código que revelaba las contraseñas de los usuarios de Zoom.

Varios usuarios reportaron una vulnerabilidad que era más peligrosa de lo que parecía, ya que no se necesitaba ser un hacker experto para explotarla y hacerse con el control de las credenciales de los usuarios.

Nuevos fallos de seguridad en Zoom

Este agujero de seguridad provocó que a mediados de abril se descubriera que alrededor de 500.000 cuentas robadas a usuarios de Zoom por culpa de la vulnerabilidad se habían estado vendiendo en la Dark Web y foros hacker. Y a precio de ganga, por menos de 1 céntimo en algunos casos e incluso gratis en otros. Cambiamos de mes, estamos ya a junio y otra vez hay que actualizar Zoom, porque otra vez tiene vulnerabilidades.

Como leemos en el blog WeLiveSecurity del antivirus ESET, el equipo de expertos en ciberseguridad Cisco Talos ha descubierto dos nuevas vulnerabilidades críticas que permitirían a un atacante “comprometer el equipo de la víctima enviando mensajes especialmente diseñados a través del chat de la herramienta”. De esta manera, un atacante que logre explotar estas nuevas vulnerabilidades CVE-2020-6109 y CVE-2020-6110 podría “ejecutar código malicioso al escribir o plantar archivos arbitrarios, los cuales permiten al atacante hacer modificaciones en el sistema comprometido”.

Vulnerabilidad CVE-2020-6109

Esta vulnerabilidad afecta a la versión 4.6.10 de Zoom lanzada el 7 de abril, y se centra en la forma en que el cliente procesa mensajes que incluyen GIFs animados mediante el servicio Giphy, el cual permite a los usuarios buscar y enviar GIFs animados a través del chat de la herramienta.

Ampliar

Según los investigadores, el problema está en que la aplicación no valida si un GIF enviado proviene de Giphy, permitiendo a un atacante enviar GIFs desde otro servicio bajo su control que Zoom almacenará en una carpeta dentro del directorio de instalación de la herramienta en el sistema de la víctima. De esta manera, el atacante puede engañar a la aplicación para guardar archivos arbitrarios que simulan ser GIFs fuera del directorio de instalación del cliente.

Vulnerabilidad (CVE-2020-6110)

Afectando también a la versión 4.6.10 de Zoom, la vulnerabilidad está localizada en la forma de procesar mensajes que incluyen fragmentos de código (snippets) compartidos a través del chat de la app, permitiendo a un atacante explotar la vulnerabilidad a través del envío de mensajes especialmente diseñados para plantar binarios arbitrarios que permitirían en una segunda instancia la ejecución de código arbitrario sin necesidad de interacción por parte de la víctima.

Según explican los investigadores, a partir de la instalación de un complemento la herramienta para realizar videoconferencias permite compartir estos fragmentos de código generando un archivo zip, pero el receptor del snippet no necesita instalar el complemento para recibirlo. De esta manera, un atacante podrá plantar en el equipo de la víctima binarios arbitrarios mediante archivos zip.

Actualiza a Zoom 5.0.5

Las malas noticias son que no se sabe quién ha podido valerse de estas dos vulnerabilidades y atacar a usuarios de Zoom. La buena es que desde hace un mes ya no pueden ser usadas más, ya que tras ser reportados ambos fallos, “Zoom reparó los mismos en mayo y lanzó un parche en la última versión publicada el 2 de junio (5.0.5)” por lo que se recomienda actualizar el cliente para evitar riesgos.