Según los investigadores, dos vulnerabilidades reveladas recientemente a Zoom podrían haber dado lugar a una explotación remota en clientes y servidores de MMR.
El martes, la investigadora de Project Zero Natalie Silvanovich publicó un análisis de los fallos de seguridad, resultado de una investigación inspirada en un ataque de cero clics contra la herramienta de videoconferencia demostrado en Pwn2Own.
"En el pasado, no había priorizado la revisión de Zoom porque creía que cualquier ataque contra un cliente de Zoom requeriría múltiples clics de un usuario", explicó la investigadora. "Dicho esto, es probable que no sea tan difícil para un atacante especializado convencer a un objetivo de unirse a una llamada de Zoom, incluso si se requieren múltiples clics, y la forma en que algunas organizaciones utilizan Zoom presenta escenarios de ataque interesantes".
Silvanovich encontró dos fallos diferentes, uno de desbordamiento de búfer que afectaba tanto a los clientes de Zoom como a los routers multimedia de Zoom (MMR), y el otro era un fallo de seguridad de fuga de información central en los servidores MMR.
También se observó la falta de ASLR (Address Space Layout Randomization), un mecanismo de seguridad que protege contra los ataques de corrupción de memoria.
"ASLR es posiblemente la mitigación más importante para prevenir la explotación de la corrupción de memoria, y la mayoría de las otras mitigaciones dependen de ella en algún nivel para ser efectivas", señaló Silvanovich. "No hay ninguna buena razón para que esté desactivada en la gran mayoría del software".
Dado que los servidores de MMR procesan el contenido de las llamadas, incluido el audio y el vídeo, el investigador afirma que los fallos son "especialmente preocupantes", y con el compromiso, cualquier reunión virtual sin el cifrado de extremo a extremo activado habría quedado expuesta a las escuchas,
El investigador no completó la cadena de ataque completa, pero sospecha que un atacante experimentado podría hacerlo si dispone de tiempo y de una "inversión suficiente".
Las vulnerabilidades fueron reportadas al proveedor y parcheadas el 24 de noviembre de 2021. Desde entonces, Zoom ha habilitado ASLR.
Era posible encontrar estos fallos ya que Zoom permite a los clientes configurar sus propios servidores; sin embargo, la naturaleza "cerrada" de Zoom -que no incluye componentes de código abierto (como WebRTC o PJSIP) que sí tienen muchas otras herramientas comparables- dificultó la comprobación de la seguridad.
Para el equipo de Project Zero, esto supuso desembolsar cerca de 1.500 dólares en concepto de licencia, un gasto que otros, incluidos los investigadores independientes, no pueden permitirse.
"Estas barreras a la investigación de seguridad probablemente significan que Zoom no es investigado con la frecuencia que podría ser, lo que potencialmente lleva a que errores simples queden sin descubrir", dijo Silvanovich. "El software de código cerrado presenta desafíos de seguridad únicos, y Zoom podría hacer más para que su plataforma sea accesible a los investigadores de seguridad y a otros que deseen evaluarla".
En noviembre, Zoom implementó actualizaciones automáticas para los clientes de escritorio del software en Windows y macOS, así como en el móvil. Esta función solo estaba disponible anteriormente para los usuarios empresariales.
Fuente: https://www.zdnet.com/article/zoom-vulnerabilities-impact-clients-mmr-servers/?&web_view=true