Fallo de seguridad en Zoom para Windows podría permitir a usuarios maliciosos robar credenciales

The Hacker News
01/04/2020

 

Zoom ha existido en el mercado por nueve años, pero el requerimiento inmediato de una aplicación de videoconferencia fácil de usar durante esta pandemia del coronavirus la convirtió de la noche a la mañana en la herramienta favorita para millones de personas.

Aunque Zoom es una solución eficiente para reuniones de videoconferencia, aún tiene oportunidades de mejora en términos de privacidad y seguridad. Según el último hallazgo del experto en ciberseguridad @_g0dmode, que también fue confirmado por el investigador Matthew Hickey y Mohamed A. Baset, el cliente Zoom para Windows es susceptible a la vulnerabilidad de 'UNC path injection' que podría permitir a atacantes robar credenciales de inicio de sesión en sistemas Windows.

El ataque involucra la técnica SMBRelay en la que Windows expone automáticamente el nombre de usuario y los hashes de contraseña NTLM a un servidor SMB remoto cuando intenta conectarse y descargar un archivo alojado en él.

El ataque es posible porque Zoom para Windows admite rutas remotas UNC, convirtiendo las URLs en hipervínculos potencialmente inseguros para los destinatarios de un chat personal o grupal.

Para robar las credenciales de inicio de sesión de un usuario que ejecuta Zoom para Windows, un atacante debe enviar una URL especialmente diseñada (es decir, \\x.x.x.x\archivo_abc) a la víctima a través de su interfaz de chat, y esperar a que la víctima haga clic en ella.

Cabe señalar que las contraseñas capturadas no son en texto claro, pero una contraseña débil puede ser descifrada en segundos fácilmente usando herramientas como HashCat o John the Ripper.

Además de robar las credenciales de Windows, la falla también se puede aprovechar para ejecutar cualquier programa que ya esté presente en la computadora de la víctima.

Zoom ya ha sido notificado de este error, pero dado que la falla aún persiste, se recomienda a los usuarios utilizar Zoom en su navegador web en lugar de la aplicación en Windows, además de no dar clic en enlaces desconocidos.

Además de usar siempre una contraseña segura, los usuarios de Windows también pueden cambiar la configuración de la política de seguridad para restringir que el sistema operativo pase automáticamente sus credenciales NTLM a un servidor remoto.

Como mencionamos anteriormente, este no es el único problema de privacidad o seguridad que se ha descubierto en Zoom en los últimos días.

Otro informe confirmó que Zoom no utiliza el cifrado de extremo a extremo para proteger los datos de llamadas de sus usuarios de miradas indiscretas, a pesar de afirmar que "Zoom está utilizando una conexión cifrada de extremo a extremo".

Apenas la semana pasada, Zoom actualizó su aplicación iOS después de que descubrió que compartía la información del dispositivo con los servidores de Facebook, lo que generó preocupación por la falta de protección de privacidad de los usuarios.

A principios de este año, Zoom también corrigió otro error de privacidad en su software que podría haber permitido que personas no invitadas se unieran a reuniones privadas y espiaran de forma remota audio, video y documentos privados compartidos durante la sesión.

El 1 abril de 2020 Zoom publicó que ha corrigido fallos de seguridad y recomienda actualizar.