Zoom no verificaba si un GIF compartido se está cargando desde el servicio Giphy
Si estás utilizando Zoom, especialmente durante este difícil momento para hacer frente a tu compromiso escolar, comercial o social, asegúrate de estar ejecutando la última versión del popular software de videoconferencia en tus computadoras Windows, macOS o Linux.
No, no se trata de la llegada de la más esperada función de cifrado de extremo a extremo "real" que, aparentemente según las últimas noticias, ahora solo estaría disponible para los usuarios de pago. En cambio, esta última advertencia trata sobre dos vulnerabilidades críticas recientemente descubiertas.
Los investigadores de seguridad cibernética de Cisco Talos revelaron ayer que descubrieon dos vulnerabilidades críticas en el software Zoom que podrían haber permitido a los atacantes piratear de forma remota los sistemas de los participantes del chat grupal o un receptor individual.
Ambas fallas en cuestión son vulnerabilidades de recorrido de ruta que pueden explotarse para escribir o plantar archivos arbitrarios en los sistemas que ejecutan versiones vulnerables del software de videoconferencia para ejecutar código malicioso.
Según los investigadores, la explotación exitosa de ambos defectos requiere poca o ninguna interacción por parte de los participantes del chat y puede ejecutarse simplemente enviando mensajes especialmente diseñados a través de la función de chat a un individuo o grupo.
La primera vulnerabilidad de seguridad (CVE-2020-6109) residía en la forma en que Zoom aprovecha el servicio GIPHY, recientemente comprado por Facebook, para permitir a sus usuarios buscar e intercambiar GIF animados mientras chatean.
Los investigadores encontraron que la aplicación Zoom no verificó si un GIF compartido se está cargando desde el servicio Giphy o no, lo que permite que un atacante incruste GIF desde un servidor controlado por un atacante externo, que amplían por caché/tienda de diseño en el sistema de los destinatarios en una carpeta específica asociada con la aplicación.
Además de eso, dado que la aplicación tampoco desinfectaba los nombres de los archivos, podría haber permitido a los atacantes lograr el recorrido del directorio, engañando a la aplicación para que guarde archivos maliciosos disfrazados como GIF en cualquier ubicación del sistema de la víctima, por ejemplo, la carpeta de inicio.
La segunda vulnerabilidad de ejecución remota de código (CVE-2020-6110) residía en la forma en que se compartían a través del chat las versiones vulnerables de los fragmentos de código de proceso de la aplicación Zoom.
"La funcionalidad de chat de Zoom se basa en el estándar XMPP con extensiones adicionales para admitir la rica experiencia del usuario. Una de esas extensiones admite una característica de incluir fragmentos de código fuente que tienen soporte completo para resaltar la sintaxis. La función para enviar fragmentos de código requiere la instalación de un complemento adicional, pero recibirlos no. Esta característica se implementa como una extensión del soporte para compartir archivos", dijeron los investigadores.
Esta característica crea un archivo zip del fragmento de código compartido antes de enviarlo y luego lo descomprime automáticamente en el sistema del destinatario.
Según los investigadores, la función de extracción del archivo zip de Zoom no valida el contenido del archivo zip antes de extraerlo, lo que permite al atacante plantar binarios arbitrarios en computadoras específicas.
"Además, un problema de recorrido parcial de la ruta permite que el archivo zip especialmente diseñado escriba archivos fuera del directorio generado aleatoriamente", dijeron los investigadores.
Los investigadores de Cisco Talos probaron ambos defectos en la versión 4.6.10 de la aplicación cliente Zoom y lo informaron de manera responsable a la empresa.
Lanzada el mes pasado, Zoom parcheó ambas vulnerabilidades críticas con el lanzamiento de la versión 4.6.12 de su software de videoconferencia para computadoras Windows, macOS o Linux.