Dos holandeses especialistas en seguridad participaron en el concurso anual de “hackers” Pwn2Own y lograron encontrar una falla de ejecución remota de código en Zoom. Con esta acción ganaron 200 mil dólares y demostraron lo vulnerable que están los usuarios de una de las plataformas más famosas de esta época.
Pwn2Own
Pwn2Own es un evento de organizado por Zero Day Initiative que desafía a los hackers a encontrar nuevas vulnerabilidades serias en software y dispositivos móviles de uso común. El evento se lleva a cabo para demostrar que software y dispositivos populares tienen fallas y vulnerabilidades para alertar a las compañías responsables.
Las compañías ofrecen voluntariamente su software, dispositivos y ofrecen una recompensa por los ataques exitosos. Este año, el evento se ha centrado en el software y los dispositivos que se utilizan cuando se trabaja desde casa incluidos Microsoft Teams y Zoom.
Foto: Security Brief
Los ataques a Zoom
Keuper y Alkemade, empleados de la empresa de ciberseguridad Computest, combinaron tres vulnerabilidades para hacerse cargo de un sistema remoto en el segundo día del evento Pwn2wn. Las vulnerabilidades no requieren interacción de la víctima, solo necesitan estar en una llamada de Zoom.
Los detalles completos del método se han mantenido en secreto, pero lo que sí sabemos es que fue una falla de ejecución remota de código (RCE): como una clase de fallas de seguridad de software que permiten a un actor malintencionado ejecutar el código de su elección en una máquina remota a través de una LAN, WAN o Internet. También sabemos que el método funciona en la versión de Windows y Mac del software Zoom, pero no afecta la versión del navegador.
La organización Pwn2Own ha tuiteado un gif que demuestra la vulnerabilidad en acción. Puede ver al atacante abrir la calculadora en el sistema que ejecuta Zoom. Calc.exe se usa a menudo como el programa que los piratas informáticos abren en un sistema remoto para mostrar que pueden ejecutar código en la máquina afectada.
Qué dijo Zoom
Es comprensible que Zoom aún no haya tenido tiempo de emitir un parche para la vulnerabilidad. Tienen 90 días para hacerlo antes de que se publiquen los detalles de la falla, pero se espera que lo hagan mucho antes de que termine ese período.
Por ahora, los hackers y Zoom son los únicos que saben cómo funciona la vulnerabilidad. Mientras se mantenga así, los usuarios de Zoom no tendrán mucho de qué preocuparse. Para aquellos que se preocupan de todos modos, se dice que la versión del navegador está a salvo de esta vulnerabilidad.
Zoom respondió al evento Pwn2Own:
«Agradecemos a la Zero Day Initiative por permitirnos patrocinar y participar en Pwn2Own Vancouver 2021, un evento que destaca el trabajo crítico y hábil realizado por los investigadores de seguridad. Nos tomamos la seguridad muy en serio y apreciamos enormemente la investigación de Computest.
Estamos trabajando para mitigar este problema con respecto a Zoom Chat, nuestro producto de mensajería grupal. El problema no afecta el chat en sesión de Zoom Meetings y los Webinars de video de Zoom. El ataque también debe originarse en un contacto externo aceptado o ser parte de la misma cuenta organizacional del objetivo.
Como práctica recomendada, Zoom recomienda que todos los usuarios solo acepten solicitudes de contacto de personas que conocen y en las que confían. Si cree que ha encontrado un problema de seguridad con los productos Zoom, envíe un informe detallado a nuestro Programa de divulgación de vulnerabilidades en nuestro Centro de confianza».
Foto: La Vanguardía
Por lo pronto, ten cuidado en tus reuniones, asegúrate de no compartir el link con desconocidos y poner candados de acceso para las reuniones para que nadie ajeno pueda ingresar a ellas.
Te podría interesar:
8 consejos para utilizar Google Classroom mientras las clases son a distancia
Ahora ya puedes hacer videollamadas con 50 personas con WhatsApp y Facebook
Google Duo lanza la función de compartir pantalla tras dos años de desarrollo
