Múltiples vulnerabilidades en plataformas que afectan el teletrabajo

Se han evidenciado múltiples vulnerabilidades que estarían afectando a plataformas relacionadas con el Teletrabajo como, google, Zoom, Avast y dispositivos iOS.

 Google Chrome 

 (CVE-2020-6450, CVE-2020-6451, CVE-2020-6452)

Las vulnerabilidades permitirian a un atacante remoto ejecutar código arbitrario en el sistema de destino, desencadenar daños en la memoria y resultar en un compromiso total del sistema vulnerable.

Zoom (ACTUALIZACIÓN: 7 abril 2020)

Fallos detectados que han mermado la confianza en el aplicativo y que impulsan las múltiples informaciones difundidas por Internet respecto a su uso:

• Se descubrió que la aplicación no cifra su comunicación de extremo a extremo (end-to-end) como dice hacerlo, esto ocurre ya que el cifrado es a través de protocolo TLS entre cliente-servidor, por lo que el proveedor del aplicativo podría descifrar las comunicaciones y utilizarlas en beneficio propio.
• Se descubrió que la aplicación ZOOM para dispositivos iOS, enviaba datos de analítica de los usuarios a Facebook, lo cual ocurría al implementar el "Login with Facebook". Solucionado el 27 de marzo por la liberación de nueva versión para dispositivos iOS (versión 4.6.9 compilación 19213.0327)

Vulnerabilidades difundidas por Common Vulnerabilities and Exposures:

(CVE-2020-11469, CVE-2020-11470, CWE-807 y CVE-2020-11500)

• CVE-2020-11469: [CVSS: MEDIO] Vulnerabilidad que afecta la aplicación macOS de Zoom en versiones 4.6.8 y anteriores. Un atacantes no privilegiado o un malware dedicado pueden explotar el instalador de Zoom para obtener privilegios de root.
• CVE-2020-11470: [CVSS: BAJO] Vulnerabilidad que afecta la aplicación macOS de Zoom en versiones 4.6.8 y anteriores. Un atacantes no privilegiado o un malware dedicado pueden obtener acceso al micrófono y cámara utilizados por la aplicación, sin permisos ni mensajes de advertencia.
• CWE-807 (sin CVE asignado): [CVSS: N/A] el cliente de Zoom para Windows permite hacer uso malicioso de rutas UNC en el chat. Esto permite a un atacante robar las credenciales de Windows de usuarios que hagan click en un enlace que reciban. Este mensaje se envía por la función de chat de texto que tiene el programa, ya que todas las URL enviadas se convierten en hipervínculos. El problema es que no sólo se convierten los enlaces, sino también las rutas UNC de Windows. Ejemplo: la ruta \\evil[.]server[.]com\images\foto-maliciosa[.]jpg es una ruta UNC con una imagen maliciosa que permitiría capturar el hash de la contraseña de Windows.

Estas 3 vulnerabilidades han sido parcheadas por la empresa ZOOM el día 2 de abril horario PM con la liberación de una nuevas actualizaciones del software ZOOM, tanto para:

• WINDOWS (versión 4.6.9 compilación 19253.0401) 
• MacOS (versión 4.6.9 compilación 19273.0402)

Posterioremente, el día 3 de abril se referenció una nueva vulnerabilidad que versa sobre la baja robustez de las llaves de cifrado que utiliza la aplicación y comunicaciones con servidores de China.

• CVE-2020-11500: [CVSS: N/A] Zoom Client para reuniones a través de todas sus versiones vigentes (hasta la versión 4.6.9 inclusive), utiliza el modo ECB de AES para el cifrado de video y audio. Dentro de una reunión, todos los participantes usan una sola clave de 128 bits. Zoom cifra y descifra con AES utilizando un algoritmo llamado Electronic Codebook, o ECB, considerado como el peor modo de cifrado sobre AES ya que mantiene los parámetros de las entradas.
  Una vez que se ha cifrado de esta manera, los datos de video y audio se distribuyen a todos los participantes en una reunión a través de un servidor Zoom Multimedia Router. Para la mayoría de los usuarios, este servidor se ejecuta en la nube de Zoom, pero los clientes pueden elegir alojar esta parte en sus terminales. En este caso, Zoom generará y, por lo tanto, tendrá acceso a la clave AES que cifran la reunión.

El día 7 de abril se liberará una nueva versión de la aplicación para plataformas Windows y MacOS

Avast Antivirus

(CVE-2020-10860, CVE-2020-10861, CVE-2020-10862, CVE-2020-10863, CVE-2020-10864, CVE-2020-10865, CVE-2020-10866, CVE-2020-10867, CVE-2020-10868)

Se descubrió un problema en Avast Antivirus antes de v.20, que contemplan vulnerabilidad de sobrescritura de direcciones de memoria arbitraria en la biblioteca de registro aswAvLog que da como resultado la denegación de servicio del servicio Avast (AvastSvc.exe). Además el punto final RPC de aswTask para la biblioteca TaskEx en el Servicio Avast (AvastSvc.exe), el cual permitiría a los atacantes realizar cambios arbitrarios. 

Dispositivos iOS 

(CVE-2020-3912, CVE-2020-3913, CVE-2020-3914, CVE-2020-3916, CVE-2020-3917, CVE-2020-3919, CVE-2020-3847, CVE-2020-3848, CVE-2020-3849, CVE-2020-3850, CVE-2020-9768, CVE-2020-9769, CVE-2020-9770, CVE-2020-9773, CVE-2020-9775, CVE-2020-9776, CVE-2020-9777, CVE-2020-9780, CVE-2020-9781, CVE-2020-9783, CVE-2020-9784, CVE-2020-9785)

Apple soluciona problemas de seguridad correspondientes a macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Catalina 10.15.3. Una app creada con fines malintencionados podría ejecutar código arbitrario con privilegios del kernel.

Se recomienda lo siguiente:

Google

• Verificar que tiene la última versión, que es 80.0.3987.162, vaya a Ayuda/ Acerca de Google Chrome desde el menú desplegable "tres puntos" en la esquina superior derecha del navegador. Si, por alguna razón, no está ejecutando la última versión, esto también iniciará el proceso de actualización.

Avast Antivirus

• Actualizar Avast Antivirus a la última versión a la brevedad.  

Zoom (ACTUALIZADO: 7 abril 2020)

• Instalar lo antes posible la última actualización disponible por el fabricante en su página web (7 de abril).
• Para CWE-807 deben actualizar vulnerabilidad aplicando el parcheado correspondiente a la versión 4.6.9 de las distintas plataformas.
• Mantener plan de parcheado de plataformas y aplicativos críticos de su organización.

Dispositivos iOS

• Instalar lo antes posible la última actualización disponible por el fabricante en su página web.