Natalie Silvanovich, investigadora de Google Project Zero, reportó la detección de dos vulnerabilidades en la plataforma de videoconferencias Zoom cuya explotación permitiría a los actores de amenazas comprometer las implementaciones de miles de clientes. Los hallazgos de Silvanovich fueron probados mediante la explotación de un ataque de cero clics revelado recientemente.
Las fallas reportadas fueron descritas como un problema de desbordamiento de búfer que afecta a los clientes Zoom y a los enrutadores multimedia de Zoom (MMR), y un error de fuga de información central para los servidores MMR.
En el reporte también se detalla la ausencia de Adress Space Layout Randomization (ASLR), un mecanismo contra ataques de corrupción de memoria: “Este debe ser el método de seguridad más importante para prevenir ciertas clases de ataque; no hay motivos suficientes para que esté deshabilitado”, agrega la investigadora.
Sobre MMR, Silvanovich menciona que a medida que estos servidores procesan contenido de las videoconferencias, los errores se vuelven más preocupantes, existiendo incluso el riesgo de ciberespionaje. La especialista no completó la cadena de ataque, pero sospecha que un actor de amenazas podría hacerlo con el tiempo suficiente.
Las fallas fueron reportadas a Zoom a finales de 2021 y ya han sido corregidas, además de que se ha habilitado ASLR por defecto. El hallazgo de estas fallas fue posible gracias a que la plataforma de videoconferencia permite a los clientes configurar sus propios servidores; no obstante, la corrección de estas fallas puede ser complicada debido a que Zoom no cuenta con componentes de código abierto.
Para Silvanovich, estas restricciones de acceso limitan la cantidad de investigaciones y hallazgos relacionados con Zoom: “El software de código cerrado presenta desafíos de ciberseguridad peculiares; Zoom debería ser más accesible para los investigadores y expertos en hacking ético”, concluye la investigadora.
En noviembre, Zoom implementó actualizaciones automáticas para los clientes de escritorio del software en Windows y macOS, así como también en dispositivos móviles. Esta función solo estaba disponible anteriormente para usuarios empresariales, por lo que se recomienda a los usuarios mantenerse al tanto de los nuevos anuncios.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El cargo Investigadora de Google Project Zero encuentra dos vulnerabilidades críticas en ZOOM apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario