Los errores de zoom habrían permitido a los piratas informáticos controlar su computadora

Ilustración para el artículo titulado Los investigadores de seguridad encuentran vulnerabilidades de Zoom que habrían permitido que los malos actores se apoderaran de su computadora

Foto: Olivier Douliery / AFP (imágenes falsas)

Un par de investigadores de seguridad revelaron varias vulnerabilidades de día cero en Zoom en los últimos días, eso habría permitido a los piratas informáticos hacerse cargo de la computadora de alguien, incluso si la víctima no hubiera hecho clic en unalgo. Zoom confirmó a Gizmodo que lanzó una actualización del lado del servidor para abordar las vulnerabilidades el viernes y que los usuarios no necesitaban tomar medidas adicionales.

Las vulnerabilidades fueron identificadas por los investigadores holandeses Daan Keuper y Thijs Alkemade de Seguridad informática, empresa de ciberseguridad y gestión de riesgos, como parte de la Concurso de piratería Pwn2Own 2021

organizado por Zero Day Initiative. Aunque no se conocen muchos detalles sobre las vulnerabilidades debido a la política de divulgación de la competencia, En esencia, los investigadores utilizaron una cadena de tres errores en la aplicación de escritorio Zoom para llevar a cabo un exploit de ejecución remota de código en el sistema de destino.

El usuario no necesitaba hacer clic en nada para que el ataque se apropiara con éxito de su computadora. Puede ver el error en acción a continuación.

De acuerdo a MalwareBytes Labs, que citó una respuesta de Zoom, el ataque debía originarse en un contacto externo aceptado o ser parte de la misma cuenta organizacional del objetivo. También afectó específicamente a Zoom Chat, la mensajería de la compañía. plataforma, pero no afectó el chat en sesión en las reuniones de Zoom y los seminarios web de video de Zoom.

Keuper y Alkemade ganaron 200.000 dólares por su descubrimiento. Esta fue la primera vez que la competencia incluyó la categoría “Comunicaciones empresariales”; dado lo familiarizados que estamos con nuestras pantallas debido a covid-19, no es de extrañar por qué, y Zoom fue un participante y patrocinador

del evento.

en un declaración Sobre la victoria de Keuper y Alkemade, Computest dijo que los investigadores pudieron hacerse cargo casi por completo de los sistemas objetivo, realizando acciones como encender la cámara, encender el micrófono, leer correos electrónicos, revisar la pantalla y descargar el historial del navegador.

“Zoom ocupó los titulares el año pasado debido a varias vulnerabilidades. Sin embargo, esto se refería principalmente a la seguridad de la aplicación en sí y a la posibilidad de ver y escuchar junto con las videollamadas. Nuestros descubrimientos son aún más serios. Las vulnerabilidades en el cliente nos permitieron tomar el control de todo el sistema de los usuarios ”, dijo Keuper en un comunicado.

En caso de que lo hayas olvidado, Zoom no fue exactamente sinónimo de seguridad el año pasado. Estaban los Bombardeos de Zoom que aprovechó las entonces laxas medidas de detección de Zoom para descargar clips de pornografía y recuerdos nazis en reuniones desprevenidas de Zoom. También apenas lanzado de punta a punta cifrado en octubre, después de un mucha confusión sobre si realmente lo apoyó o no.

Zoom le dijo a Gizmodo el sábado que no tenía conocimiento de ningún incidente en el que actores maliciosos hubieran explotado las vulnerabilidades encontradas por los investigadores.

“El 9 de abril, lanzamos una actualización del lado del servidor que defiende contra el ataque demostrado en Pwn2Own en Zoom Chat, nuestro producto de mensajería grupal”, dijo un portavoz de Zoom. “Esta actualización no requiere ninguna acción por parte de nuestros usuarios. Seguimos trabajando en mitigaciones adicionales para abordar por completo los problemas subyacentes. Zoom tampoco es consciente de ningunaincidente en el que un cliente fue aprovechado por estos problemas “.

.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.