Home Sociedad Dos fallas críticas en Zoom podrían haber permitido a los atacantes piratear...

Dos fallas críticas en Zoom podrían haber permitido a los atacantes piratear los sistemas a través del chat

Investigadores de Cisco Talos descubrieron recientemente dos nuevas fallas en Zoom que podrían permitir a los atacantes ejecutar código arbitrario en las computadoras de los usuarios.

La compañía de seguridad cibernética, informó que trabajó con Zoom para solucionar los fallos.

Es el último conjunto de errores de seguridad descubierto en Zoom, una empresa de teleconferencias cuyo software ha sido objeto de un intenso escrutinio en los últimos meses, ya que la pandemia de coronavirus obligó a la gente de todo el mundo a teletrabajar y a depender de plataformas de videoconferencia. Los competidores incluyen Cisco WebEx, Microsoft Teams y GoToMeeting.

El primer fallo, TALOS-2020-1056, que afecta a la versión 4.6.10 de Zoom Client, está relacionado con la forma en que Zoom procesa los mensajes.

“El núcleo de esta vulnerabilidad es que la función de extracción de archivos zip de Zoom no realiza la validación del contenido del archivo zip antes de extraerlo”, escriben los investigadores de Talos. “En el caso de un fragmento de código compartido, Zoom procederá a desempaquetar automáticamente el archivo zip descargado para previsualizar y mostrar el fragmento”.

Antes del arreglo, si los atacantes enviaban un mensaje especialmente elaborado a individuos o grupos, la vulnerabilidad podía ser desencadenada, según Talos. Esto puede permitir a los atacantes implantar archivos maliciosos en los ordenadores de las víctimas, sin ninguna interacción del usuario.

Si los usuarios interactúan con los archivos que reciben, por ejemplo, descargándolos, el atacante puede enviar más archivos maliciosos, según Talos.

El segundo fallo se refiere a la forma en que el cliente de Zoom procesa los mensajes que contienen GIF animados, de los que también se podría abusar para ejecutar código arbitrario.

Esto es sólo el último dolor de cabeza de seguridad para Zoom. Durante meses, la empresa con sede en San José, California, ha estado trabajando para solucionar numerosos fallos de seguridad y privacidad en sus productos, desde un problema que permitía espiar las llamadas de otras personas -conocido coloquialmente como “Zoombing”- hasta un problema que podría haber permitido a los atacantes robar las contraseñas de algunos usuarios.

Pero la comunidad de seguridad de la información todavía no está satisfecha con la forma en que la empresa ha decidido implementar el cifrado de extremo a extremo, una característica que protegería las comunicaciones de los usuarios de partes externas, incluso de Zoom.

La compañía previamente anunció falsamente que estaba proporcionando a los usuarios encriptación de extremo a extremo, a pesar de que Zoom todavía podía acceder a video y audio no encriptado de las reuniones. Ahora, el fundador de la compañía, Eric S. Yuan, asegura que la compañía proveerá encriptación de extremo a extremo sólo a clientes de pago o corporativos, dejando a los clientes que usan la versión gratuita de Zoom, sin ese estándar de privacidad y seguridad.

Con información de: Masterhacks Noticias.