Las vulnerabilidades de Zoom no requieren ninguna interacción de la víctima
La edición de primavera de 2021 del concurso de piratería Pwn2Own concluyó la semana pasada el 8 de abril con un empate a tres bandas entre el equipo Devcore, OV y los investigadores de Computest Daan Keuper y Thijs Alkemade.
Se otorgó un total de $ 1.2 millones por 16 exploits de alto perfil durante el transcurso del evento virtual de tres días organizado por Zero Day Initiative (ZDI).
Los objetivos con intentos exitosos incluyeron los sistemas operativos Zoom, Apple Safari, Microsoft Exchange, Microsoft Teams, Parallels Desktop, Windows 10 y Ubuntu Desktop.
Algunos de los aspectos más destacados son los siguientes:
• Usar un desvío de autenticación y una escalada de privilegios local para hacerse cargo por completo de un servidor de Microsoft Exchange, para lo cual el equipo de Devcore obtuvo $ 200.000
• Encadenando un par de errores para lograr la ejecución de código en Microsoft Teams, ganando el investigador de OV $ 200.000
• Un exploit de cero clic dirigido a Zoom que empleó una cadena de tres errores para explotar la aplicación de mensajería y obtener la ejecución del código en el sistema de destino ($ 200.000).
• La explotación de una falla de desbordamiento de enteros y una escritura fuera de límites en Safari para obtener la ejecución de código a nivel de kernel ($ 100.000)
• Un exploit dirigido al renderizador de Chrome para piratear los navegadores Google Chrome y Microsoft Edge (Chromium) ($ 100.000)
• Aprovechando los errores de uso después de la liberación, condición de carrera y desbordamiento de enteros en Windows 10 para escalar de un usuario normal a privilegios del SISTEMA ($ 40.000 cada uno)
• Combinando tres fallas (una pérdida de memoria no inicializada, un desbordamiento de pila y un desbordamiento de enteros) para escapar de Parallels Desktop y ejecutar código en el sistema operativo subyacente ($ 40.000)
• Aprovechar un error de corrupción de memoria para ejecutar con éxito código en el sistema operativo host desde Parallels Desktop ($ 40.000)
• La explotación del error de acceso fuera de los límites para pasar de un usuario estándar a root en Ubuntu Desktop ($ 30.000)
Las vulnerabilidades de Zoom explotadas por Daan Keuper y Thijs Alkemade de Computest Security son particularmente notables porque las fallas no requieren ninguna interacción de la víctima más que participar en una llamada de Zoom. Además, afecta a las versiones de la aplicación para Windows y Mac, aunque no está claro si también son vulnerables las versiones de Android e iOS.
Los detalles técnicos de las fallas aún no se han revelado, pero en un comunicado que comparte los hallazgos, la firma de seguridad holandesa dijo que los investigadores "pudieron controlar casi por completo el sistema y realizar acciones como encender la cámara, encender el micrófono, leer correos electrónicos, revisar la pantalla y descargar el historial del navegador".
Cuando recibió una respuesta, Zoom dijo que impulsó un cambio del lado del servidor para corregir los errores, y señaló que está trabajando para incorporar protecciones adicionales para resolver las deficiencias de seguridad. La compañía tiene una ventana de 90 días para abordar los problemas antes de que se hagan públicos.
"El 9 de abril, publicamos una actualización del lado del servidor que defiende contra el ataque demostrado en Pwn2Own en Zoom Chat", dijo un portavoz de la compañía. "Esta actualización no requiere ninguna acción por parte de nuestros usuarios. Seguimos trabajando en mitigaciones adicionales para abordar por completo los problemas subyacentes".
La compañía también dijo que no tiene conocimiento de ninguna evidencia de explotación activa por estos problemas, al tiempo que señala que las fallas no afectan el chat en sesión en Zoom Meetings, y que el "ataque solo puede ser ejecutado por un contacto externo que el objetivo haya sido aceptado previamente o sea parte de la misma cuenta organizacional del objetivo".
La investigadora independiente Alisa Esage también hizo historia como la primera mujer en ganar Pwn2Own después de encontrar un error en el software de virtualización Parallels. Pero solo se le otorgó una victoria parcial por razones de que el problema se había informado a ZDI antes del evento.
"Solo puedo aceptar como un hecho que mi participación exitosa en Pwn2Own atrajo el escrutinio de ciertos puntos discutibles y potencialmente obsoletos en las reglas del concurso", tuiteó Esage, agregando: "En el mundo real no existe un 'punto discutible'. Un exploit rompe el sistema objetivo o no".