Defecto crítico sin parche revelado en el software Zoom para Windows 7 o anterior

ampliar la seguridad

Se descubrió una vulnerabilidad de día cero en el software de videoconferencia Zoom para Windows que podría permitir a un atacante ejecutar código arbitrario en la computadora de la víctima con Microsoft Windows 7 o anterior.

Para explotar con éxito la vulnerabilidad de zoom, todo lo que un atacante debe hacer es engañar a un usuario de Zoom para que realice alguna acción típica, como abrir un archivo de documento recibido. No se activa ni se muestra ninguna advertencia de seguridad al usuario en el momento del ataque.

La vulnerabilidad fue descubierta por un investigador que la informó a Acros Security, quien luego informó la falla al equipo de seguridad de Zoom el día de hoy. El investigador desea permanecer en el anonimato.

Aunque la falla está presente en todas las versiones compatibles del cliente Zoom para Windows, solo se puede explotar en sistemas que ejecutan Windows 7 y sistemas Windows anteriores debido a algunas características específicas del sistema.

«Esta vulnerabilidad solo se puede explotar en Windows 7 y versiones anteriores de Windows. Es probable que también se pueda explotar en Windows Server 2008 R2 y versiones anteriores, aunque no lo probamos», dijo Mitja Kolsek, cofundadora de 0patch, en una publicación de blog publicada el jueves.

Si bien Microsoft finalizó el soporte oficial para Windows 7 este enero y alentó a los usuarios a cambiar a versiones más seguras del sistema operativo, Windows 7 todavía es ampliamente utilizado por usuarios y organizaciones en general.

Los investigadores de Acros Security, los creadores de 0patch, desarrollaron un microparche para todas las versiones de Zoom Client para Windows (desde la versión 5.0.3 hasta la última versión 5.1.2) para solucionar el problema de seguridad y lo lanzaron para todos gratis hasta que Zoom Video Communications entregue un parche de seguridad oficial.

Cuando un usuario habilita 0patch en su sistema, el código malicioso enviado por un atacante no se ejecuta cuando un usuario de Zoom hace clic en el botón «Iniciar video».

«Zoom Client presenta una funcionalidad de actualización automática bastante persistente que probablemente mantendrá actualizados a los usuarios domésticos a menos que realmente no quieran estarlo», dijo Kolsek.

«Sin embargo, a los administradores empresariales a menudo les gusta mantener el control de las actualizaciones y pueden retrasarse un par de versiones, especialmente si no se corrigieron errores de seguridad en las últimas versiones (que es el caso actualmente)».

Los investigadores de Acros Security también desarrollaron un exploit de prueba de concepto funcional para la vulnerabilidad, que compartieron con Zoom y no publicarán hasta que la empresa solucione el problema.

Sin embargo, la empresa ha publicado una demostración de video de prueba de concepto que muestra cómo se puede activar un exploit malicioso para esta vulnerabilidad al hacer clic en el botón «Iniciar video» en Zoom Client.

¡Sin parche! ¿Qué deben hacer los usuarios afectados?

Hasta que Zoom publique una solución para el problema, los usuarios pueden dejar de usar temporalmente el cliente Zoom en sus versiones anteriores de Windows o actualizar su sistema operativo a una versión más nueva.

Los usuarios también pueden implementar el microparche publicado por Acros Security, pero dado que proviene de una empresa de software de terceros y no de Zoom, no recomendaría hacerlo.

Debido al brote de coronavirus en curso, el uso del software de videoconferencia Zoom se ha disparado en los últimos meses, ya que no solo lo utilizan las empresas sino también millones de usuarios regulares en todo el mundo para hacer frente a la educación, los negocios, el compromiso social, Y qué no.

ACTUALIZAR: En una declaración proporcionada a The Hacker News, Zoom confirmó que ahora ha reparado la vulnerabilidad mencionada anteriormente con el lanzamiento de la versión 5.1.3 del cliente de Zoom.

«Los usuarios pueden ayudar a mantenerse seguros aplicando las actualizaciones actuales o descargando el software Zoom más reciente con todas las actualizaciones de seguridad actuales desde https://zoom.us/download».

La saga ZOOM continúa…

El mes pasado, Zoom abordó dos vulnerabilidades críticas en su software de videoconferencia para computadoras con Windows, macOS o Linux que podrían haber permitido a los atacantes piratear los sistemas de los participantes del chat grupal o de un destinatario individual de forma remota.

En abril, se descubrieron e informaron una serie de problemas en Zoom, lo que generó preocupaciones de privacidad y seguridad en torno al software de videoconferencia entre millones de sus usuarios.

A principios de este año, Zoom también corrigió un error grave de privacidad en su software que podría haber permitido que personas no invitadas se unieran a reuniones privadas y escucharan de forma remota audio, video y documentos privados compartidos durante la sesión.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática