Clicky

Google detalla dos errores de día cero en clientes Zoom y servidores MMR

Zoom video-software

El objetivo de un ataque sin clic es obtener el control sigiloso del dispositivo de la víctima

Una exploración de la superficie de ataque sin clic para la popular solución de videoconferencia Zoom ha arrojado dos vulnerabilidades de seguridad no reveladas anteriormente que podrían haberse explotado para bloquear el servicio, ejecutar código malicioso e incluso filtrar áreas arbitrarias de su memoria.

Natalie Silvanovich de Google Project Zero, quien descubrió e informó las dos fallas el año pasado, dijo que los problemas afectaron tanto a los clientes de Zoom como a los servidores de enrutador multimedia (MMR), que transmiten contenido de audio y vídeo entre clientes en implementaciones locales.

Desde entonces, Zoom ha abordado las debilidades como parte de las actualizaciones enviadas el 24 de noviembre de 2021.

El objetivo de un ataque sin clic es obtener el control sigiloso del dispositivo de la víctima sin requerir ningún tipo de interacción por parte del usuario, como hacer clic en un enlace.

Si bien los detalles del exploit variarán según la naturaleza de la vulnerabilidad que se explote, un rasgo clave de los hacks sin clic es su capacidad para no dejar rastros de actividad maliciosa, lo que los hace muy difíciles de detectar.

Los dos defectos identificados por Project Zero son los siguientes:

CVE-2021-34423 (puntaje CVSS: 9.8): una vulnerabilidad de desbordamiento de búfer que se puede aprovechar para bloquear el servicio o la aplicación, o ejecutar código arbitrario.

CVE-2021-34424 (puntaje CVSS: 7.5): una falla de exposición de la memoria del proceso que podría usarse para obtener información sobre áreas arbitrarias de la memoria del producto.

Al analizar el tráfico RTP (Protocolo de transporte en tiempo real) utilizado para entregar audio y video a través de redes IP, Silvanovich descubrió que es posible manipular el contenido de un búfer que admite la lectura de diferentes tipos de datos mediante el envío de un mensaje de chat mal formado, lo que hace que se bloqueen el cliente y el servidor MMR.

Además, la falta de una verificación NULL, que se usa para determinar el final de una cadena, hizo posible la filtración de datos de la memoria al unirse a una reunión de Zoom a través de un navegador web.

El investigador también atribuyó la falla de corrupción de la memoria al hecho de que Zoom no pudo habilitar ASLR, también conocido como aleatorización del diseño del espacio de direcciones, un mecanismo de seguridad diseñado para aumentar la dificultad de realizar ataques de desbordamiento de búfer.

"La falta de ASLR en el proceso Zoom MMR aumentó en gran medida el riesgo de que un atacante pudiera comprometerlo", dijo Silvanovich. "ASLR es posiblemente la mitigación más importante para prevenir la explotación de la corrupción de la memoria, y para ser efectivas la mayoría de las otras mitigaciones dependen de ella en algún nivel. No hay una buena razón para que esté deshabilitado en la gran mayoría del software".

Si bien la mayoría de los sistemas de videoconferencia usan bibliotecas de código abierto como WebRTC o PJSIP para implementar comunicaciones multimedia, Project Zero señaló el uso de Zoom de formatos y protocolos propietarios, así como sus altas tarifas de licencia (casi $ 1.500) como barreras para la investigación de seguridad.

"El software de código cerrado presenta desafíos de seguridad únicos, y Zoom podría hacer más para que su plataforma sea accesible para los investigadores de seguridad y otras personas que deseen evaluarla", dijo Silvanovich. "Aunque el equipo de seguridad de Zoom me ayudó a acceder y configurar el software del servidor, no está claro si el soporte está disponible para otros investigadores, y la licencia del software aún era costosa".

Jesus_Caceres