M¨¢s fallos de seguridad en Zoom, actualiza para borrarlas

Convertida en la aplicaci¨®n para videoconferencias favorita durante el per¨ªodo de confinamiento que vivimos, ZOOM est¨¢ siendo tambi¨¦n muy criticada debido a sus problemas de seguridad que permiten ¡®colarse¡¯ en mitad de reuniones de personas sin estar invitado/a a ellas. El pasado 1 de abril se descubri¨® un error en el c¨®digo que revelaba las contrase?as de los usuarios de Zoom.

Varios usuarios reportaron una vulnerabilidad que era m¨¢s peligrosa de lo que parec¨ªa, ya que no se necesitaba ser un hacker experto para explotarla y hacerse con el control de las credenciales de los usuarios.

Nuevos fallos de seguridad en Zoom

Este agujero de seguridad provoc¨® que a mediados de abril se descubriera que alrededor de 500.000 cuentas robadas a usuarios de Zoom por culpa de la vulnerabilidad se hab¨ªan estado vendiendo en la Dark Web y foros hacker. Y a precio de ganga, por menos de 1 c¨¦ntimo en algunos casos e incluso gratis en otros. Cambiamos de mes, estamos ya a junio y otra vez hay que actualizar Zoom, porque otra vez tiene vulnerabilidades.

Como leemos en el blog WeLiveSecurity del antivirus ESET, el equipo de expertos en ciberseguridad Cisco Talos ha descubierto dos nuevas vulnerabilidades cr¨ªticas que permitir¨ªan a un atacante ¡°comprometer el equipo de la v¨ªctima enviando mensajes especialmente dise?ados a trav¨¦s del chat de la herramienta¡±. De esta manera, un atacante que logre explotar estas nuevas vulnerabilidades CVE-2020-6109 y CVE-2020-6110 podr¨ªa ¡°ejecutar c¨®digo malicioso al escribir o plantar archivos arbitrarios, los cuales permiten al atacante hacer modificaciones en el sistema comprometido¡±.

Vulnerabilidad CVE-2020-6109

Esta vulnerabilidad afecta a la versi¨®n 4.6.10 de Zoom lanzada el 7 de abril, y se centra en la forma en que el cliente procesa mensajes que incluyen GIFs animados mediante el servicio Giphy, el cual permite a los usuarios buscar y enviar GIFs animados a trav¨¦s del chat de la herramienta.

Ampliar

Seg¨²n los investigadores, el problema est¨¢ en que la aplicaci¨®n no valida si un GIF enviado proviene de Giphy, permitiendo a un atacante enviar GIFs desde otro servicio bajo su control que Zoom almacenar¨¢ en una carpeta dentro del directorio de instalaci¨®n de la herramienta en el sistema de la v¨ªctima. De esta manera, el atacante puede enga?ar a la aplicaci¨®n para guardar archivos arbitrarios que simulan ser GIFs fuera del directorio de instalaci¨®n del cliente.

Vulnerabilidad (CVE-2020-6110)

Afectando tambi¨¦n a la versi¨®n 4.6.10 de Zoom, la vulnerabilidad est¨¢ localizada en la forma de procesar mensajes que incluyen fragmentos de c¨®digo (snippets) compartidos a trav¨¦s del chat de la app, permitiendo a un atacante explotar la vulnerabilidad a trav¨¦s del env¨ªo de mensajes especialmente dise?ados para plantar binarios arbitrarios que permitir¨ªan en una segunda instancia la ejecuci¨®n de c¨®digo arbitrario sin necesidad de interacci¨®n por parte de la v¨ªctima.

Seg¨²n explican los investigadores, a partir de la instalaci¨®n de un complemento la herramienta para realizar videoconferencias permite compartir estos fragmentos de c¨®digo generando un archivo zip, pero el receptor del snippet no necesita instalar el complemento para recibirlo. De esta manera, un atacante podr¨¢ plantar en el equipo de la v¨ªctima binarios arbitrarios mediante archivos zip.

Actualiza a Zoom 5.0.5

Las malas noticias son que no se sabe qui¨¦n ha podido valerse de estas dos vulnerabilidades y atacar a usuarios de Zoom. La buena es que desde hace un mes ya no pueden ser usadas m¨¢s, ya que tras ser reportados ambos fallos, ¡°Zoom repar¨® los mismos en mayo y lanz¨® un parche en la ¨²ltima versi¨®n publicada el 2 de junio (5.0.5)¡± por lo que se recomienda actualizar el cliente para evitar riesgos.