Las vulnerabilidades críticas de Zoom solucionadas la semana pasada no requerían la interacción del usuario
Zoom El equipo de investigación de vulnerabilidades Project Zero de Google detalló las vulnerabilidades críticas que Zoom parchó la semana pasada, lo que permitió a los piratas informáticos realizar ataques sin clic que ejecutaron código malicioso de forma remota en dispositivos que ejecutaban el software de mensajería. Las vulnerabilidades, rastreadas como CVE-2022-22786 y CVE-2022-22784, permitieron que se llevaran a cabo ataques incluso si la víctima no hacía nada más que abrir el cliente. Como detalló el martes el investigador del Proyecto Cero de Google, Ivan Fratric, las inconsistencias en la forma en que el cliente y los servidores de Zoom analizan los mensajes XMPP permitieron que se «introduciera de contrabando» contenido que normalmente estaría bloqueado. Al combinar estos errores con una falla en la forma en que funciona la verificación de la firma del código de Zoom, Fratric logró la ejecución completa del código. «No se requiere interacción del usuario para un ataque exitoso», escribió el investigador. «La única capacidad que necesita un atacante es enviar mensajes a la víctima a través del chat de Zoom usando el protocolo XMPP». Fratric continuó:
La vulnerabilidad inicial (denominada contrabando de estrofas XMPP) abusa del análisis de inconsistencias entre los analizadores XML en el cliente y el servidor de Zoom para «pasar de contrabando» estrofas XMPP arbitrarias al cliente víctima. A partir de ahí, mediante el envío de una línea de control especialmente diseñada, el atacante puede obligar al cliente víctima a conectarse a un servidor malicioso, convirtiendo este ataque primitivo en un ataque de intermediario. Eventualmente, al interceptar/modificar las solicitudes/respuestas de actualización del cliente, el cliente afectado descarga y ejecuta una actualización maliciosa, lo que lleva a la ejecución de código arbitrario. Se utiliza un ataque de degradación del cliente para eludir la verificación de la firma del instalador de actualizaciones. Este ataque se ha demostrado contra el cliente más reciente (5.9.3) en Windows de 64 bits; sin embargo, es probable que algunas o todas las partes de la cadena se apliquen a otras plataformas.
Finalmente, en diciembre, Zoom ingresó al siglo XXI cuando les dio a los clientes de macOS y Windows la capacidad de actualizarse automáticamente. La gravedad de las vulnerabilidades corregidas la semana pasada subraya la importancia de la actualización automática. A menudo, los piratas informáticos habrán realizado ingeniería inversa de estas actualizaciones a las pocas horas o días de su disponibilidad y las utilizarán como una hoja de ruta de explotación. Y, sin embargo, una de las computadoras que uso regularmente para Zoom todavía tenía que instalar los parches hasta el miércoles cuando pensé en seleccionar la opción «Buscar actualizaciones». Anuncio publicitario
Para que mi cliente de Zoom se actualice automáticamente, primero tenía que estar ejecutándose una versión intermedia. Después de actualizar manualmente, finalmente se implementó la actualización automática. Los lectores pueden verificar sus sistemas para asegurarse de que también estén ejecutando la última versión.