Especialistas en ciberseguridad reportan el hallazgo de múltiples vulnerabilidades día cero en el cliente Zoom para equipos de escritorio cuya explotación exitosa permitiría a los hackers maliciosos ejecutar código arbitrario en el dispositivo objetivo.
El reporte fue presentado por el equipo de hacking ético integrado por Daan Keuepr y Thijs Alkemade durante el concurso de hacking Pwn2Own. Zoom les entregó una recompensa de 200 mil dólares a través de su programa de recompensas.
Pwn2Own es un importante evento de ciberseguridad en el que los hackers éticos demuestran la existencia de vulnerabilidades de día cero en dispositivos y aplicaciones populares. Debido al aumento en el uso de herramientas de comunicación remota, los organizadores de la conferencia agregaron la nueva categoría de Comunicaciones Empresariales.
Sobre su hallazgo, los investigadores mencionaron que si bien algunas fallas en Zoom encontradas anteriormente permitían acceso arbitrario a algunas sesiones de videollamada, estas fallas permitirían a los actores de amenazas tomar control del sistema comprometido.
El ataque requiere encadenar la explotación de tres vulnerabilidades, aunque los expertos señalan que una vez que esto se consigue los hackers no requieren de la interacción de las víctimas potenciales para completar el ataque, en lo que se conoce como una vulnerabilidad de cero clics.
Si el ataque ha sido exitoso, los actores de amenazas pueden tomar control casi completo del sistema objetivo. En su demostración, los hackers éticos realizaron movimientos de manipulación remota en el sistema atacado, como encender cámara y micrófono, acceder a plataformas email y robar información privada como el historial de navegación del dispositivo.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
