Las vulnerabilidades críticas de Zoom solucionadas la semana pasada no requirieron interacción del usuario

Las vulnerabilidades críticas de Zoom solucionadas la semana pasada no requirieron interacción del usuario

Zoom

El equipo de investigación de vulnerabilidades Project Zero de Google detalló las vulnerabilidades críticas Zoom parcheado la semana pasada lo que hizo posible que los piratas informáticos ejecutaran ataques de clic cero que ejecutaban de forma remota código malicioso en dispositivos que ejecutan el software de mensajería.

Rastreadas como CVE-2022-22786 y CVE-2022-22784, las vulnerabilidades permitieron realizar ataques incluso cuando la víctima no hizo nada más que abrir el cliente. Como detallado el martes por el investigador de Google Project Zero, Ivan Fratric, las inconsistencias en la forma en que el cliente Zoom y los servidores Zoom analizan los mensajes XMPP hicieron posible el “contrabando” de contenido en ellos que normalmente estarí a bloqueado. Al combinar esos defectos con una falla en la forma en que funciona la verificación de firma de código de Zoom, Fratric logró la ejecución completa del código.

“La interacción del usuario no es necesaria para un ataque exitoso”, escribió el investigador. “La única habilidad que necesita un atacante es poder enviar mensajes a la víctima a través del chat de Zoom a través del protocolo XMPP”. Fratric continuó:

La vulnerabilidad inicial (etiquetada como XMPP Stanza Smuggling) abusa de las inconsistencias de análisis entre los analizadores XML en el cliente y el servidor de Zoom para poder “pasar de contrabando” estrofas XMPP arbitrarias al cliente víctima. A partir de ahí, mediante el envío de una estrofa de control especialmente diseñada, el atacante puede obligar al cliente víctima a conectarse a un servidor malicioso, convirtiendo así esta primitiva en un ataque de intermediario. Finalmente, al interceptar/modificar las solicitudes/respuestas de actualización del cliente, el cliente víctima descarga y ejecuta una actualización maliciosa, lo que resulta en la ejecución de código arbitrario. Se utiliza un ataque de degradación del cliente para eludir la comprobación de firmas en el instalador de actualizaciones. Este ataque se ha demostrado contra el cliente más reciente (5.9.3) que se ejecuta en Windows de 64 bits; sin embargo, es probable que algunas o todas las partes de la cadena se apliquen a otras plataformas.

En diciembre, Zoom finalmente se unió al siglo XXI cuando les dio a los clientes de macOS y Windows la capacidad de actualizarse automáticamente. La gravedad de las vulnerabilidades corregidas la semana pasada subraya la importancia de la actualización automática. A menudo, a las pocas horas o días de que las actualizaciones como estas estén disponibles, los piratas informáticos ya las han realizado ingeniería inversa y las utilizan como una hoja de ruta de explotación. Y, sin embargo, una de las computadoras que uso regularmente para Zoom aún no había instalado los parches hasta el miércoles, cuando pensé en elegir la opción “Buscar actualizaciones”.

Para que mi cliente de Zoom se actualice automáticamente, primero necesitaba ejecutar una versión intermedia. Una vez que actualicé manualmente, la actualización automática finalmente estuvo en su lugar. Es posible que los lectores deseen verificar sus sistemas para asegurarse de que también estén ejecutando la última versión.

Leave a Reply

Your email address will not be published. Required fields are marked *