Los investigadores han revelado una vulnerabilidad de Zero Day en Zoom que se puede utilizar para lanzar ataques de ejecución remota de código (RCE).
El Pwn2Own, organizado por Zero Day Initiative, es un concurso para equipos y profesionales de ciberseguridad de sombrero blanco para competir en el descubrimiento de errores en software y servicios populares.
La última competencia incluyó 23 entradas, compitiendo en diferentes categorías, incluidos navegadores web, software de virtualización, servidores, comunicación empresarial y escalamiento local de privilegios.
Para los participantes exitosos, las recompensas financieras pueden ser altas, y en este caso, Daan Keuper y Thijs Alkemade se ganaron 200 mil dólares por su descubrimiento de Zoom.
Los errores de Zoom
Los investigadores de Computest demostraron una cadena de ataque de tres errores que causó un RCE en una máquina objetivo, y todo sin ninguna forma de interacción del usuario.
Como Zoom aún no ha tenido tiempo de corregir el problema crítico de seguridad, los detalles técnicos específicos de la vulnerabilidad se mantienen en secreto. Sin embargo, una animación del ataque en acción demuestra cómo un atacante pudo abrir el programa de calculadora de una máquina que ejecuta Zoom después de su exploit.
Zoom es criticado por no poder corregir su problema de vulnerabilidad.
Como señaló Malwarebytes, el ataque funciona en las versiones de Zoom de Windows y Mac, pero aún no se ha probado en iOS o Android. La versión del navegador del software de videoconferencia no se ve afectada.
En una declaración a Tom’s Guide, Zoom agradeció a los investigadores de Computest y dijo que la compañía estaba «trabajando para mitigar este problema con respecto a Zoom Chat». Las reuniones de Zoom en sesión y los seminarios web de video de Zoom no se ven afectados.
«El ataque también debe originarse en un contacto externo aceptado o ser parte de la misma cuenta organizacional del objetivo», agregó Zoom. «Como práctica recomendada, Zoom recomienda que todos los usuarios solo acepten solicitudes de contacto de personas que conocen y en las que confían».
Los proveedores tienen una ventana de 90 días, que es una práctica estándar en los programas de divulgación de vulnerabilidades, para resolver los problemas de seguridad encontrados.
Los usuarios finales solo necesitan esperar a que se emita un parche, pero si están preocupados, pueden usar la versión del navegador mientras tanto.
«Este evento, y los procedimientos y protocolos que lo rodean, demuestran muy bien cómo funcionan los piratas informáticos de sombrero blanco y lo que significa la divulgación responsable», dice Malwarebytes.
«Guárdese los detalles hasta que la protección en forma de parche esté disponible para todos los involucrados (con el entendimiento de que los proveedores harán su parte y producirán un parche rápidamente)».
Fuente: LA VERDAD NOTICIAS
