Hace pocos días anunciamos que en los recientes meses se ha visto un exponencial crecimiento en la cantidad de registros de nuevos dominios con el nombre Zoom, donde dichos dominios suelen ser utilizados por los Hackers para propagar malware. Algo que no afectaba directamente al programa Zoom video, la reciente vulnerabilidad encontrada por un grupo de investigadores sí que afecta a la popular aplicación oficial de videoconferencias.
Zoom Video ha estado por nueve años disponible, pero debido a la pandemia del coronavirus (COVID-19) y su facilidad de uso para realizar videoconferencias rápidamente, ha causado que de la noche a la mañana, ser una de las herramientas de comunicación favorita para millones de personas alrededor del mundo. Aunque ha ayudado a dar una solución eficiente para las reuniones en línea, para algunos expertos, no es recomendable, en especial para aquellas personas que realmente se preocupan por su seguridad y privacidad.
Según un experto en ciberseguridad, el software Zoom Video para Windows está afectada por una vulnerabilidad clásica conocida como “inyección de ruta UNC (UNC path injection)”, el cual puede permitir a los atacantes remotos robar credenciales de inicio de sesión de Windows a las víctimas e incluso ejecutar comandos arbitrarios en sus sistemas.
Confirmado y demostrado por un par de investigadores, donde el primer escenario de ataque se debe al SMBRelay, que permite ser explotada por el hecho de que Windows expone automáticamente el nombre de usuario y el hash de la contraseña NTLM (NT Lan Manager - conjunto de protocolos de autenticación de Microsoft) hacia el servidor SMB (Service Message Block - Protocolo de red que permite compartir recursos en una red), cuando se intenta conectar y descargar un archivo alojado en él. Al aprovecharse de este funcionamiento, lo único que tiene que hacer un atacante para robar las credenciales de un usuario objetivo, es simplemente enviar un URL especialmente diseñado hacia la víctima por la interfaz de chat y esperar que la víctima haga click en el enlace malicioso.
En el momento que la víctima haga click, el atacante puede capturar automáticamente los datos de autenticación de Windows, sin el conocimiento del usuario. La contraseña obtenida aunque no estará en texto plano, puede ser fácilmente descifrada en segundos usando un herramientas especiales para ello, como HashCat o John the Ripper.
Respecto a la falla, Zoom se ha disculpado por la poca privacidad y seguridad, además de lanzar un parche de seguridad que corrige varias vulnerabilidades de seguridad, incluyendo al “UNC path injection”.
COMENTARIOS