Los investigadores han revelado una vulnerabilidad de día cero en Zoom que se puede utilizar para lanzar ataques de ejecución remota de código (RCE).
Pwn2Own, organizado por Zero Day Initiative, es un concurso para equipos y profesionales de ciberseguridad de sombrero blanco para competir en el descubrimiento de errores en software y servicios populares.
La última competencia incluyó 23 entradas, compitiendo en diferentes categorías, incluidos navegadores web, software de virtualización, servidores, comunicación empresarial y escalamiento local de privilegios.
Para los participantes exitosos, las recompensas financieras pueden ser altas, y en este caso, Daan Keuper y Thijs Alkemade se ganaron $ 200,000 por su descubrimiento de Zoom.
Los investigadores de Computest demostraron una cadena de ataque de tres errores que causó un RCE en una máquina objetivo, y todo sin ninguna forma de interacción del usuario.
Como Zoom aún no ha tenido tiempo de reparar el problema crítico de seguridad, los detalles técnicos específicos de la vulnerabilidad se mantienen en secreto. Sin embargo, una animación del ataque en acción demuestra cómo un atacante pudo abrir el programa de calculadora de una máquina que ejecuta Zoom después de su exploit.
Como señaló Malwarebytes , el ataque funciona en las versiones de Zoom de Windows y Mac, pero aún no se ha probado en iOS o Android. La versión del navegador del software de videoconferencia no se ve afectada.
En una declaración a Tom's Guide, Zoom agradeció a los investigadores de Computest y dijo que la compañía estaba "trabajando para mitigar este problema con respecto a Zoom Chat". Las reuniones de Zoom en sesión y los seminarios web de video de Zoom no se ven afectados.
"El ataque también debe originarse en un contacto externo aceptado o ser parte de la misma cuenta organizacional del objetivo", agregó Zoom. "Como práctica recomendada, Zoom recomienda que todos los usuarios solo acepten solicitudes de contacto de personas que conocen y en las que confían".
Los proveedores tienen una ventana de 90 días, que es una práctica estándar en los programas de divulgación de vulnerabilidades, para resolver los problemas de seguridad encontrados. Los usuarios finales solo necesitan esperar a que se emita un parche, pero si están preocupados, pueden usar la versión del navegador mientras tanto.
"Este evento, y los procedimientos y protocolos que lo rodean, demuestran muy bien cómo funcionan los piratas informáticos de sombrero blanco y qué significa la divulgación responsable", dice Malwarebytes. "Guárdese los detalles hasta que la protección en forma de parche esté disponible para todos los involucrados (con el entendimiento de que los proveedores harán su parte y producirán un parche rápidamente)".
Otros ataques exitosos que se destacan durante el contenido incluyen:
- Apple Safari: Jack Dates, ejecución de código a nivel de kernel, $ 100,000
- Microsoft Exchange: DEVCORE, adquisición completa del servidor, $ 200,000
- Microsoft Teams: OV, ejecución de código, $ 200,000
- Ubuntu Desktop: Ryota Shiga, usuario estándar a root, $ 30,000
Fuente: https://www.zdnet.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios