Una exploración de la superficie de ataque de la popular solución de videoconferencia Zoom ha revelado dos vulnerabilidades de seguridad no reveladas anteriormente que podrían haber sido explotadas para bloquear el servicio, ejecutar código malicioso e incluso filtrar áreas arbitrarias de su memoria.
Natalie Silvanovich, de Google Project Zero, que descubrió y notificó los dos fallos el año pasado, dijo que los problemas afectaban tanto a los clientes de Zoom como a los servidores del enrutador multimedia (MMR), que transmiten contenidos de audio y vídeo entre clientes en instalaciones locales.
Desde entonces, Zoom ha solucionado las vulnerabilidades en el marco de las actualizaciones enviadas el 24 de noviembre de 2021.
El objetivo de un ataque "zero-click" es obtener sigilosamente el control del dispositivo de la víctima sin requerir ningún tipo de interacción por parte del usuario, como hacer clic en un enlace.
Aunque los detalles del exploit varían en función de la naturaleza de la vulnerabilidad explotada, un rasgo clave de los ataques de cero clics es su capacidad para no dejar rastros de actividad maliciosa, lo que los hace muy difíciles de detectar.
Los dos fallos identificados por Project Zero son los siguientes
- CVE-2021-34423 (puntuación CVSS: 9,8) - Una vulnerabilidad de desbordamiento de búfer que puede aprovecharse para bloquear el servicio o la aplicación, o ejecutar código arbitrario.
- CVE-2021-34424 (puntuación CVSS: 7,5) - Un defecto de exposición de la memoria del proceso que podría utilizarse para obtener potencialmente información sobre áreas arbitrarias de la memoria del producto.
Al analizar el tráfico RTP (Protocolo de Transporte en Tiempo Real) utilizado para entregar audio y vídeo a través de redes IP, Silvanovich descubrió que es posible manipular el contenido de un búfer que admite la lectura de diferentes tipos de datos mediante el envío de un mensaje de chat malformado, provocando el bloqueo del cliente y del servidor MMR.
Además, la falta de una comprobación NULL -que se utiliza para determinar el final de una cadena- hacía posible la fuga de datos de la memoria al unirse a una reunión de Zoom a través de un navegador web.
El investigador también atribuyó el fallo de corrupción de memoria al hecho de que Zoom no habilitó ASLR, alias address space layout randomization, un mecanismo de seguridad diseñado para aumentar la dificultad de realizar ataques de desbordamiento de búfer.
"La falta de ASLR en el proceso MMR de Zoom aumentó en gran medida el riesgo de que un atacante pudiera comprometerlo", dijo Silvanovich. "Podría decirse que ASLR es la mitigación más importante para prevenir la explotación de la corrupción de memoria, y la mayoría de las otras mitigaciones dependen de ella en algún nivel para ser efectivas. No hay ninguna buena razón para que esté desactivada en la gran mayoría del software".
Mientras que la mayoría de los sistemas de videoconferencia utilizan librerías de código abierto como WebRTC o PJSIP para implementar las comunicaciones multimedia, Project Zero señaló el uso de formatos y protocolos propietarios por parte de Zoom, así como sus elevadas tarifas de licencia (casi 1.500 dólares) como obstáculos para la investigación de la seguridad.
"El software de código privado presenta desafíos de seguridad únicos, y Zoom podría hacer más para que su plataforma sea accesible a los investigadores de seguridad y a otros que deseen evaluarla", dijo Silvanovich. "Aunque el equipo de seguridad de Zoom me ayudó a acceder y configurar el software del servidor, no está claro que el apoyo esté disponible para otros investigadores, y la licencia del software seguía siendo cara".
Fuente: https://thehackernews.com/2022/01/google-details-two-zero-day-bugs.html