Bug en Zoom permitía obtener el PIN privado de las reuniones

La popular aplicación de videoconferencia Zoom solucionó recientemente una nueva
falla de seguridad que podría haber permitido a los atacantes potenciales
descifrar el código de acceso numérico utilizado para asegurar reuniones
privadas en la plataforma y espiar a los participantes. La vulnerabilidad sólo se encontraba en el cliente web.
Las reuniones de Zoom están protegidas por defecto con una contraseña numérica
de seis dígitos, pero según Tom Anthony, vicepresidente de productos de
SearchPilot que identificó el problema, la falta de limitación de velocidad permitió que
"un atacante intentara todas las 1 millón de contraseñas en cuestión de
minutos y obtener acceso a las reuniones de Zoom privadas (protegidas por
contraseña) de otras personas".
El hecho de que las reuniones estuvieran, de manera predeterminada, aseguradas
por un código de seis dígitos significaba que solo podía haber un máximo de un
millón de contraseñas. Anthony informó el problema de seguridad a la compañía
el 1 de abril de 2020, junto con un script de prueba de concepto basado
en Python, una semana después de que Zoom solucionó el problema el 9 de abril.
En ausencia de comprobaciones para intentos repetidos de contraseña
incorrecta, un atacante puede aprovechar el cliente web de Zoom
(https://zoom.us/j/MEETING_ID) para enviar continuamente solicitudes
HTTP para probar todas las combinaciones de un millón.
Vale la pena señalar que Zoom comenzó a requerir un código de acceso para todas las reuniones en abril como medida preventiva para combatir los ataques de bombardeo de Zoom, que se refiere al acto de interrumpir y secuestrar reuniones de Zoom sin invitación para compartir contenido obsceno y racista.
"Con una mejora en el subprocesamiento y la distribución a través de 4-5 servidores en la nube, podría verificar todo el espacio de la contraseña en unos minutos", dijo Anthony.
El ataque funcionó con reuniones recurrentes, lo que implica que los malos actores podrían haber tenido acceso a las reuniones en curso una vez que se descifró el código de acceso.
El investigador también descubrió que el mismo procedimiento podría repetirse incluso con reuniones programadas, que tienen la opción de anular el código de acceso predeterminado con una variante alfanumérica más larga y ejecutarlo contra una lista de los 10 millones de contraseñas principales para forzar un inicio de sesión por fuerza bruta.
Por separado, se descubrió un problema durante el proceso de inicio de sesión utilizando el cliente web, que empleó una redirección temporal para buscar el consentimiento de los clientes a sus términos de servicio y política de privacidad.
"Hubía un encabezado CSRF HTTP enviado durante este paso, pero si se omitía, la solicitud parecía funcionar bien de todos modos", dijo Anthony. "La falla en el token CSRF hacía aún más fácil abusar de la aplicación".
La plataforma de videoconferencia, que atrajo el escrutinio de una serie de problemas de seguridad a medida que su uso se disparó durante la pandemia de coronavirus, ha corregido rápidamente las fallas a medida que se descubrían, incluso llegando al punto de anunciar un congelamiento de 90 días en el lanzamiento de nuevas funciones para "identificar, abordar y solucionar problemas de manera proactiva".
A principios de este mes, la compañía abordó una vulnerabilidad Zero-Day en su aplicación de Windows que podría permitir a un atacante ejecutar código arbitrario en la computadora de una víctima con Windows 7 o anterior.
También
solucionó otra falla
que
podría haber permitido a los atacantes imitar a una organización
y engañar a sus empleados o socios comerciales para que revelen información
personal u otra información confidencial a través de ataques de ingeniería
social.
Fuente:
THN
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!