Natalie Silvanovich, investigadora de Google Project Zero, reportó la detección de dos vulnerabilidades en la plataforma de videoconferencias Zoom cuya explotación permitiría a los actores de amenazas comprometer las implementaciones de miles de clientes. Los hallazgos de Silvanovich fueron probados mediante la explotación de un ataque de cero clics revelado recientemente.
Las fallas reportadas fueron descritas como un problema de desbordamiento de búfer que afecta a los clientes Zoom y a los enrutadores multimedia de Zoom (MMR), y un error de fuga de información central para los servidores MMR.
En el reporte también se detalla la ausencia de Adress Space Layout Randomization (ASLR), un mecanismo contra ataques de corrupción de memoria: “Este debe ser el método de seguridad más importante para prevenir ciertas clases de ataque; no hay motivos suficientes para que esté deshabilitado”, agrega la investigadora.
Sobre MMR, Silvanovich menciona que a medida que estos servidores procesan contenido de las videoconferencias, los errores se vuelven más preocupantes, existiendo incluso el riesgo de ciberespionaje. La especialista no completó la cadena de ataque, pero sospecha que un actor de amenazas podría hacerlo con el tiempo suficiente.
Las fallas fueron reportadas a Zoom a finales de 2021 y ya han sido corregidas, además de que se ha habilitado ASLR por defecto. El hallazgo de estas fallas fue posible gracias a que la plataforma de videoconferencia permite a los clientes configurar sus propios servidores; no obstante, la corrección de estas fallas puede ser complicada debido a que Zoom no cuenta con componentes de código abierto.
Para Silvanovich, estas restricciones de acceso limitan la cantidad de investigaciones y hallazgos relacionados con Zoom: “El software de código cerrado presenta desafíos de ciberseguridad peculiares; Zoom debería ser más accesible para los investigadores y expertos en hacking ético”, concluye la investigadora.
En noviembre, Zoom implementó actualizaciones automáticas para los clientes de escritorio del software en Windows y macOS, así como también en dispositivos móviles. Esta función solo estaba disponible anteriormente para usuarios empresariales, por lo que se recomienda a los usuarios mantenerse al tanto de los nuevos anuncios.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
