Vulnerabilidad crítica en Zoom permite secuestro de conexión

Share this…

Un atacante podría falsificar mensajes, secuestrar controles de pantalla o expulsar a otros usuarios de las conferencias

Una vulnerabilidad considerada crítica en la aplicación de videoconferencias Zoom podría permitir a un atacante remoto secuestrar los controles de pantalla y expulsar a los asistentes de las conferencias, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.

Investigadores de una firma de ciberseguridad publicaron una prueba de concepto para esta vulnerabilidad de ejecución de comando no autorizada, mencionando que el error persiste en la función de mensajería de Zoom, La vulnerabilidad, rastreada como CVE-2018-15715, ha sido considerada de gravedad “crítica”, y tiene una puntuación CVSS de 3.0/9.9.

“Esta vulnerabilidad podría ser explotada si se presentan determinados escenarios como:

  • Un participante de la reunión de Zoom malintencionado
  • Un atacante en la red de acceso local (LAN)
  • Un atacante remoto en una red de área amplia (WAN) podría, en teoría, utilizar esta vulnerabilidad para secuestrar una reunión de Zoom en curso

Los atacantes podrían usar esta vulnerabilidad para realizar operaciones de otro modo restringidas en las conferencias de Zoom”, mencionó David Wells, especialista en forense digital. La vulnerabilidad proviene de una falla en la bomba de mensajería interna de Zoom, un mecanismo que esta aplicación usa para enviar y esperar mensajes.

Eso significa que un potencial atacante, sin autenticación y de forma remota, podría crear y enviar un mensaje de Protocolo de Datagrama de Usuario (UDP), y se interpretaría como un mensaje confiable de Protocolo de Control de Transmisión utilizado por los servidores autorizados de Zoom.

“Este ataque es especialmente peligroso ya que puede ser realizado tanto por los participantes de una conferencia de Zoom como por un atacante remoto capaz de crear un paquete UDP falsificado, ya que pueden infiltrarse sin problemas en una sesión UDP existente, buscar una conferencia de Zoom en curso y desencadenar el ataque”, mencionó el experto en forense digital.

A partir de ese punto, el actor malicioso podría realizar diversas operaciones perjudiciales, como secuestro de los controladores de pantalla, suplantación de identidad para enviar o recibir mensajes dirigidos a otros participantes de la conferencia, o incluso expulsar a otros participantes de la conferencia.

Por ejemplo, en la prueba de concepto publicada por Wells, se demostró cómo un participante malicioso podía enviar paquetes UDP para tomar el control de una pantalla del presentador para iniciar su calculadora.

“La explotación de una vulnerabilidad como esta puede ser extremadamente perjudicial y representa un serio riesgo para la reputación de una empresa”, señala Wells. “Incluso si se presentara un una sola de las más de 700 mil empresas que trabajan con software de Zoom, el impacto sería por demás significativo”.

Esta clase de vulnerabilidades son particularmente perjudiciales para una empresa, afirman especialistas en forense digital. Empresas como Cisco y Adobe también han experimentado problemas con esta clase de errores informáticos en sus sistemas de videoconferencia. Apenas hace unos días, Cisco se encontraba corrigiendo una serie de fallas en su sistema de conferencias WebEx que permitía la ejecución remota de código. Por su parte, Adobe lanzó recientemente un parche de actualización que corregiría una serie de fallas en su plataforma Adobe Connect.

“El uso común de los sistemas de conferencia empresariales representa un nuevo vector de ataque que cualquier actor malicioso con los conocimientos suficientes podría aprovechar”.

Zoom ha actualizado sus servidores para mitigar el riesgo de ataque. La compañía también lanzó versiones actualizadas de su aplicación para Windows y macOS. La última actualización para clientes Linux no soluciona el problema y, según se informa, Zoom está trabajando en una nueva actualización.