si estás usando Zoom—Especialmente durante este momento desafiante para hacer frente a su educación, negocios o compromiso social, asegúrese de estar ejecutando la última versión del popular software de videoconferencia en sus computadoras con Windows, macOS o Linux.
No, no se trata de la llegada de la función de cifrado de extremo a extremo «real» más esperada, que aparentemente, según las últimas noticias, ahora solo estaría disponible para usuarios pagos. En cambio, esta última advertencia se trata de dos vulnerabilidades críticas recién descubiertas.
Los investigadores de seguridad cibernética de Cisco Talos dieron a conocer hoy que descubrieron dos vulnerabilidades críticas en el software Zoom que podrían haber permitido a los atacantes piratear los sistemas de los participantes del chat grupal o de un destinatario individual de forma remota.
Ambas fallas en cuestión son vulnerabilidades de cruce de ruta que pueden explotarse para escribir o plantar archivos arbitrarios en los sistemas que ejecutan versiones vulnerables del software de videoconferencia para ejecutar código malicioso.
Según los investigadores, la explotación exitosa de ambas fallas requiere poca o ninguna interacción de los participantes del chat objetivo y puede ejecutarse simplemente enviando mensajes especialmente diseñados a través de la función de chat a un individuo o grupo.
La primera vulnerabilidad de seguridad (CVE-2020-6109) residía en la forma en que Zoom aprovecha el servicio GIPHY, comprado recientemente por Facebook, para permitir que sus usuarios busquen e intercambien GIF animados mientras chatean.
Los investigadores descubren que la aplicación Zoom no verificó si un GIF compartido se está cargando desde el servicio Giphy o no, lo que permitió a un atacante incrustar GIF desde un servidor controlado por un atacante externo, que hace zoom por caché de diseño/almacenamiento en el sistema de los destinatarios en una carpeta específica asociada con la aplicación.
Además de eso, dado que la aplicación tampoco estaba desinfectando los nombres de los archivos, podría haber permitido a los atacantes lograr el cruce de directorios, engañando a la aplicación para que guardara archivos maliciosos disfrazados de GIF en cualquier ubicación del sistema de la víctima, por ejemplo, la carpeta de inicio.
La segunda vulnerabilidad de ejecución remota de código (CVE-2020-6110) residía en la forma en que las versiones vulnerables de la aplicación Zoom procesan fragmentos de código compartidos a través del chat.
«La funcionalidad de chat de Zoom se basa en el estándar XMPP con extensiones adicionales para respaldar la rica experiencia del usuario. Una de esas extensiones admite la función de incluir fragmentos de código fuente que tienen compatibilidad completa con el resaltado de sintaxis. La función para enviar fragmentos de código requiere la instalación de un complemento adicional, pero recibirlos no. Esta característica se implementa como una extensión del soporte para compartir archivos «, dijeron los investigadores.
Esta función crea un archivo zip del fragmento de código compartido antes de enviarlo y luego lo descomprime automáticamente en el sistema del destinatario.
Según los investigadores, la función de extracción de archivos zip de Zoom no valida el contenido del archivo zip antes de extraerlo, lo que permite al atacante plantar archivos binarios arbitrarios en las computadoras objetivo.
«Además, un problema de recorrido parcial de la ruta permite que el archivo zip especialmente diseñado escriba archivos fuera del directorio generado aleatoriamente», dijeron los investigadores.
Los investigadores de Cisco Talos probaron ambas fallas en la versión 4.6.10 de la aplicación del cliente Zoom y lo informaron de manera responsable a la empresa.
Lanzado el mes pasado, Zoom parchó ambas vulnerabilidades críticas con el lanzamiento de la versión 4.6.12 de su software de videoconferencia para computadoras con Windows, macOS o Linux.