16 abr. 2020

Venden exploits 0-Day para Zoom por U$S500.000

Supuestamente se están vendiendo dos vulnerabilidades críticas de Zoom que permitirían que cualquiera espíe llamadas. Según tres fuentes que comercializan exploits dicen que hay dos 0-Day de Zoom, uno para Windows y otro para MacOS, en el mercado.

Las fuentes no han visto el código real para estas vulnerabilidades, pero han sido contactados por corredores que los ofrecen a la venta. La semana pasada, Motherboard informó que hay un mayor interés en los 0-Day para Zoom, ya que millones de personas, incluidos empleados y ejecutivos de grandes empresas de todo el mundo, se trasladaron a esta plataforma para reuniones confidenciales, debido a la pandemia de coronavirus.

"Por lo que escuché, hay dos exploits de día cero en circulación para Zoom. [...] Uno afecta a OS X y el otro a Windows", dijo Adriel Desautels, fundador de Netragard, una empresa que solía vender y comerciar con Zero-Days. "No espero que tengan una vida útil particularmente larga porque cuando se usa un día cero se descubre". Otras dos fuentes independientes, que pidieron permanecer en el anonimato para discutir temas delicados, confirmaron la existencia de estos dos exploits en el mercado.

"El Zero-Day de Windows es bonito, un RCE limpio, perfecto para el espionaje industrial", dijo una de las fuentes, que es un veterano de la industria de la seguridad. Las vulnerabilidades de ejecución remota de código son los errores más buscados, ya que permiten a los atacantes entrar sin tener que depender de que el objetivo caiga en un ataque de phishing, por ejemplo.

En cambio, el exploit para MacOS no es un RCE, por lo que es menos peligroso y más difícil de usar en un hack real, según las dos fuentes anónimas.

El precio inicial para el día cero para la aplicación Zoom de Windows es de U$S500.000, según una de las fuentes, que se ocupa de la adquisición de exploits pero ha decidido no comprar esta. La fuente dijo que el exploit  requiere que el atacante esté en una llamada con el objetivo, lo que lo hace menos valioso para una agencia de espionaje del gobierno que pretende ser sigilosa y no quiere ser atrapada.

Zoom dijo que "estamos trabajando las 24 horas del día con una empresa de seguridad y hasta la fecha, no hemos encontrado ninguna evidencia que corrobore estas afirmaciones".

Fuente: Vice

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!