En un informe compartido con The Hacker News, los investigadores de la firma de seguridad cibernética CheckPoint revelaron hoy detalles de una falla menor pero fácil de explotar que informaron en Zoom, el software de videoconferencia muy popular y ampliamente utilizado.
La última falla de Zoom podría haber permitido a los atacantes imitar una organización, engañando a sus empleados o socios comerciales para que revelen información personal u otra información confidencial utilizando trucos de ingeniería social.
Sabemos que los ataques de ingeniería social pueden sonar un poco aburridos, pero alguien usó lo mismo para incendiar Twitter anoche cuando cientos de cuentas de Twitter de alto perfil fueron pirateadas para promover una estafa de criptomonedas, todo gracias a la cuenta de herramientas interna comprometida de un empleado. .
Dicha vulnerabilidad reside en la función de URL personalizable de Zoom denominada Vanity URL, con el objetivo de permitir que las empresas creen una URL personalizada en su subdominio y página de destino de marca, como «suempresa.zoom.us,«donde el enlace de invitación a una reunión se ve así https://nombre_de_la_organización.zoom.us/j/##########en lugar de regular https://zoom.us/j/######### formato.
El equipo de CheckPoint descubrió que, debido a una validación de cuenta incorrecta, cualquier ID de reunión podría haberse iniciado utilizando la URL mnemónica de cualquier organización, incluso si una cuenta individual separada configuró una reunión.
«El problema de seguridad se centra en las funcionalidades del subdominio», dijeron los investigadores. «Hay varias formas de ingresar a una reunión que contiene un subdominio, incluido el uso de un enlace de subdominio directo que contiene la ID de la reunión, o el uso de la interfaz de usuario web personalizada del subdominio de la organización».
Los atacantes pueden explotar esta laguna de dos maneras:
- Ataque a través de enlaces directos: un pirata informático puede cambiar la URL de invitación, como https://zoom.us/j/##########, para incluir un subdominio registrado de su elección, como https: //
.zoom.us / j / ##########, al programar una reunión. Un usuario que recibe este enlace de invitación puede caer en la trampa del atacante, pensando que la invitación era genuina y emitida por una organización real. - Atacar interfaces web dedicadas de Zoom: dado que algunas organizaciones tienen su interfaz web de Zoom para llamadas de conferencia, un pirata informático también podría apuntar a dicha interfaz e intentar redirigir a un usuario para que ingrese una ID de reunión en la URL mnemónica maliciosa en lugar de la interfaz web de Zoom real y unirse a la sesión de Zoom correspondiente.
El impacto de este problema puede conducir a un intento de phishing exitoso, lo que permite a los atacantes hacerse pasar por empleados legítimos de la empresa, lo que potencialmente les permite robar credenciales e información confidencial y llevar a cabo otras acciones de fraude.
Los investigadores de Check Point divulgaron responsablemente el problema a Zoom Video Communications Inc. y trabajaron juntos para abordarlo y establecer salvaguardas adicionales para la protección de los usuarios.
«Debido a que Zoom se ha convertido en uno de los canales de comunicación líderes en el mundo para empresas, gobiernos y consumidores, es fundamental evitar que los actores de amenazas exploten Zoom con fines delictivos», dijo a The Hacker News Adi Ikan, gerente de grupo de Check Point Research.
«Trabajando junto con el equipo de seguridad de Zoom, hemos ayudado a Zoom a brindar a los usuarios de todo el mundo una experiencia de comunicación más segura, simple y confiable para que puedan aprovechar al máximo los beneficios del servicio».
A principios de este año, Check Point Research también trabajó con Zoom para corregir un grave error de privacidad que podría haber permitido a personas no invitadas unirse a reuniones privadas y escuchar de forma remota audio, video y documentos privados compartidos durante la sesión.
Debido al brote de coronavirus en curso, el uso del software de videoconferencia Zoom se ha disparado: de 10 millones de participantes diarios en reuniones en diciembre de 2019 a más de 300 millones en abril de 2020, lo que lo convierte en el objetivo favorito de los ciberdelincuentes.
La semana pasada, Zoom parchó una vulnerabilidad de día cero en todas las versiones compatibles del cliente Zoom para Windows que podría haber permitido a un atacante ejecutar código arbitrario en la computadora de una víctima con Microsoft Windows 7 o anterior.
El mes pasado, Zoom abordó dos vulnerabilidades de seguridad críticas en su software de videoconferencia para computadoras con Windows, macOS o Linux que podrían haber permitido a los atacantes piratear los sistemas de los participantes del chat grupal o de un destinatario individual de forma remota.
En abril, se descubrieron e informaron una serie de problemas en Zoom, lo que generó preocupaciones de privacidad y seguridad en torno al software de videoconferencia entre millones de sus usuarios.