La popular aplicación de videoconferencia Zoom solucionó recientemente una nueva falla de seguridad que podría haber permitido a los posibles atacantes descifrar el código de acceso numérico utilizado para asegurar reuniones privadas en la plataforma y espiar a los participantes.
Las reuniones de Zoom están protegidas de manera predeterminada por una contraseña numérica de seis dígitos, pero según Tom Anthony, vicepresidente de productos de SearchPilot, quien identificó el problema, la falta de límite de velocidad permitió que «un atacante intentara usar el millón de contraseñas en cuestión de minutos y obtener acceso a las reuniones de Zoom privadas (protegidas con contraseña) de otras personas».
Vale la pena señalar que Zoom comenzó a requerir un código de acceso para todas las reuniones en abril como medida preventiva para combatir los ataques de Zoom-bombing, que se refiere al acto de interrumpir y secuestrar reuniones de Zoom sin invitación para compartir contenido obsceno y racista.
Anthony informó el problema de seguridad a la empresa el 1 de abril de 2020, junto con un script de prueba de concepto basado en Python, una semana después de lo cual Zoom corrigió la falla el 9 de abril.
El hecho de que las reuniones estuvieran, por defecto, protegidas por un código de seis dígitos significaba que solo podía haber un máximo de un millón de contraseñas.
Pero en ausencia de comprobaciones de repetidos intentos de contraseña incorrecta, un atacante puede aprovechar el cliente web de Zoom (https://zoom.us/j/MEETING_ID) para enviar continuamente solicitudes HTTP para probar el millón de combinaciones.
«Con subprocesos mejorados y distribución entre 4 o 5 servidores en la nube, podría verificar todo el espacio de la contraseña en unos pocos minutos», dijo Anthony.
El ataque funcionó con reuniones recurrentes, lo que implica que los malos actores podrían haber tenido acceso a las reuniones en curso una vez que se descifró el código de acceso.
El investigador también descubrió que el mismo procedimiento podría repetirse incluso con reuniones programadas, que tienen la opción de anular el código de acceso predeterminado con una variante alfanumérica más larga y ejecutarlo en una lista de los 10 millones de contraseñas principales para forzar un inicio de sesión.
Por otra parte, se descubrió un problema durante el proceso de inicio de sesión mediante el cliente web, que empleó una redirección temporal para solicitar el consentimiento de los clientes a sus términos de servicio y política de privacidad.
«Se envió un encabezado HTTP CSRF durante este paso, pero si lo omitió, la solicitud parecía funcionar bien de todos modos», dijo Anthony. «La falla en el token CSRF hizo que fuera aún más fácil abusar de lo que sería de otra manera, pero arreglar eso no proporcionaría mucha protección contra este ataque».
Tras los hallazgos, Zoom desconectó el cliente web para mitigar los problemas el 2 de abril antes de emitir una solución una semana después.
La plataforma de videoconferencia, que fue objeto de escrutinio por una serie de problemas de seguridad a medida que su uso se disparó durante la pandemia de coronavirus, corrigió rápidamente las fallas a medida que fueron descubiertas, llegando incluso al extremo de anunciar una congelación de 90 días en el lanzamiento de nuevas funciones para «identifique, aborde y solucione mejor los problemas de manera proactiva».
Justo a principios de este mes, la compañía abordó una vulnerabilidad de día cero en su aplicación de Windows que podría permitir que un atacante ejecute código arbitrario en la computadora de una víctima con Windows 7 o anterior.
También corrigió una falla separada que podría haber permitido a los atacantes imitar una organización y engañar a sus empleados o socios comerciales para que revelen información personal u otra información confidencial a través de ataques de ingeniería social.
