Los investigadores de Google han analizado las vulnerabilidades ahora parcheadas en el software de videoconferencia
Dos vulnerabilidades reveladas recientemente a Zoom podrían haber llevado a la explotación remota en clientes y servidores MMR, dicen los investigadores.
El martes, la investigadora de Project Zero, Natalie Silvanovich, publicó un análisis de las fallas de seguridad, los resultados de una investigación inspirada en un ataque de clic cero contra la herramienta de videoconferencia demostrada en Pwn2Own .
"En el pasado, no había priorizado revisar Zoom porque creía que cualquier ataque contra un cliente de Zoom requeriría varios clics de un usuario", explicó el investigador. "Dicho esto, es probable que no sea tan difícil para un atacante dedicado convencer a un objetivo de unirse a una llamada de Zoom, incluso si requiere varios clics, y la forma en que algunas organizaciones usan Zoom presenta escenarios de ataque interesantes".
Silvanovich encontró dos errores diferentes, un problema de desbordamiento de búfer que afectó tanto a los clientes de Zoom como a los enrutadores multimedia de Zoom (MMR), y el otro fue una falla de seguridad de fuga de información central para los servidores MMR.
También se observó la falta de aleatorización del diseño del espacio de direcciones (ASLR), un mecanismo de seguridad para proteger contra ataques de corrupción de memoria.
"ASLR es posiblemente la mitigación más importante para prevenir la explotación de la corrupción de la memoria, y la mayoría de las otras mitigaciones dependen de ella en algún nivel para ser efectivas", señaló Silvanovich. "No hay una buena razón para que esté deshabilitado en la gran mayoría del software".
A medida que los servidores MMR procesan el contenido de las llamadas, incluido el audio y el video, el investigador dice que los errores son "especialmente preocupantes" y, con compromiso, cualquier reunión virtual sin el cifrado de extremo a extremo habilitado habría estado expuesta a escuchas ilegales.
El investigador no completó la cadena de ataque completa, pero sospecha que un atacante determinado podría hacerlo si se le diera el tiempo y la "inversión suficiente".
Las vulnerabilidades se informaron al proveedor y se corrigieron el 24 de noviembre de 2021. Desde entonces, Zoom ha habilitado ASLR.Fue posible encontrar estos errores ya que Zoom permite a los clientes configurar sus propios servidores; sin embargo, la naturaleza "cerrada" de Zoom, que no incluye componentes de código abierto (como WebRTC o PJSIP) que sí incluyen muchas otras herramientas comparables, dificultó la investigación de seguridad.
Para el equipo de Project Zero, esto significó desembolsar cerca de $ 1500 en tarifas de licencia, un gasto que otros, incluidos los investigadores independientes, quizás no puedan pagar.
"Estas barreras a la investigación de seguridad probablemente significan que Zoom no se investiga tan a menudo como podría ser, lo que podría llevar a que errores simples no se descubran", dijo Silvanovich. "El software de código cerrado presenta desafíos de seguridad únicos, y Zoom podría hacer más para que su plataforma sea accesible para los investigadores de seguridad y otras personas que deseen evaluarla".
En noviembre, Zoom implementó actualizaciones automáticas para los clientes de escritorio del software en Windows y macOS, así como también en dispositivos móviles. Esta función solo estaba disponible anteriormente para usuarios empresariales.
Historias relacionadas:
Zoom : Cómo activar la función traducción automática en videollamadas
Zoom Free : Implementa una función súper útil.
[Fuente]: zdnet.com
BiljaST.( 19 de Enero de 2022).233 images. [Fotografía]. Modificado por Carlos Zambrado Recuperado de pixabay.com