Zero-Day dentro de la función "Vanity URL" en Zoom

23 Julio 2020
Alto

Nos encontramos viviendo una crisis sanitaria que ha menoscabado todas las actividades empresariales y productivas del globo, lo que supondrá un quiebre en la economía mundial al corto plazo, por lo que debemos tomar medidas necesarias para poder conllevarla. Es momento de adaptarse a los cambios de una forma segura que garantice la operación de nuestros negocios.

No es novedad el hecho de que la conectividad a Internet haya aumentado de forma exponencial en estas últimas semanas. Como proveedores de Internet, hemos registrado incrementos que llegan hasta el 78% en algunos casos, interpretando que esta alza se debe a que muchas empresas se han visto en la necesidad de implantar y principiar en el teletrabajo.

Por otra parte, los medios de comunicación también han sido pieza clave en el contexto mediático. Según fuentes externas, el uso del teléfono móvil y de aplicaciones de mensajería han aumentado hasta en un 600%, los cibernautas se encuentran visualizando plataformas de contenidos y navegando por Internet gran parte del día debido a la sed de noticias generada por la incertidumbre y miedo que se ha instalado en la sociedad. El problema está en que esta situación es conocida y está siendo activamente explotada por los cibercriminales.

A medida que la pandemia de coronavirus sigue perturbando los sistemas mundiales de salud, económicos, políticos y sociales, hay otra amenaza, poco visible, que va en aumento en el espacio digital: el riesgo de ataques cibernéticos que se aprovechan de nuestra mayor dependencia de las herramientas digitales y de la incertidumbre de la crisis.

Coronavirus y teletrabajo: los ciberdelincuentes cambian su enfoque para vulnerar la información de las empresas

En una pandemia de esta escala, con casos de coronavirus registrados por todo el mundo, la dependencia de las comunicaciones digitales se multiplica. Internet se ha convertido casi instantáneamente en el canal para la interacción humana efectiva y la forma principal en que trabajamos, nos contactamos y nos apoyamos mutuamente.

Las empresas y organizaciones están ofreciendo o aplicando cada vez más políticas de teletrabajo, y las interacciones sociales se están limitando rápidamente a las videollamadas, las publicaciones en las redes sociales y los programas de chat.

En este contexto sin precedentes, un ataque cibernético que priva a las organizaciones o familias del acceso a sus dispositivos, datos o Internet podría ser devastador e incluso mortal: en el peor de los casos, los ataques cibernéticos de base amplia podrían causar fallos de infraestructura generalizados que desconecten a comunidades o ciudades enteras, poniendo obstáculos a los proveedores de atención médica, los sistemas públicos y las redes. Pese a que esto suena como algo lejano y un tanto ficticio, lamentamos informar que son hechos que están ocurriendo ahora y en las redes nacionales.

Zoom Meetings

La popular plataforma de videoconferencia Zoom ha vuelto a aparecer en las noticias debido a problemas de seguridad consecutivos. La semana pasada, se debió a una vulnerabilidad de ejecución de código remoto que afectaba las versiones de: Windows 7 y Windows Server 2008. Justo después de parcharlo, apareció otra vulnerabilidad que afecta a la función URL de Zoom Vanity.

Zoom ha experimentado un crecimiento exponencial en la comunidad de usuarios, gracias a los confinamientos obligatorios definidos por la pandemia, convirtiéndose en una de las aplicaciones de videollamadas más populares del momento.

Durante fines de marzo se vieron enfrentados a acusaciones legales junto con algunas vulnerabilidades presentes en sus plataformas que fueron trending topic de las noticias digitales, ya que su cifrado no era de extremo a extremo como ellos ofrecían. Ésto y otros fallos detectados en abril, mermaron la confianza en el aplicativo y que impulsaron las múltiples informaciones difundidas por Internet respecto a su uso:

  • Se descubrió que la aplicación no cifra su comunicación de extremo a extremo (end-to-end) como dice hacerlo, esto ocurre ya que el cifrado es a través de protocolo TLS entre cliente-servidor, por lo que el proveedor del aplicativo podría descifrar las comunicaciones y utilizarlas en beneficio propio. Según un comunicado oficial de Zoom, en julio 2020 se implementará el cifrado end-to-end (E2EEnc). A la fecha la última actualización de E2EE fue difundida el 18 junio que es una versión Beta. El E2EE será para todos los usuarios, tanto de pago como cuentas gratuitas y debe ser activado manualmente en cada una de las conferencias, para ello los usuarios deben crear cuentas validando ciertos datos de autenticación como números telefónicos.
     
  • Se descubrió que la aplicación ZOOM para dispositivos iOS, enviaba datos de analítica de los usuarios a Facebook, lo cual ocurría al implementar el "Login with Facebook". Esto fue corregido el día 27 de marzo por la liberación de nueva versión para dispositivos iOS (versión 4.6.9 compilación 19213.0327)

Vulnerabilidades difundidas por Common Vulnerabilities and Exposures:

  • Las vulnerabilidades identificadas en el aplicativo de videoconferencias Zoom Client son del 8 de junio de 2020 en la versión 4.6.10 que tienen los identificadores CVE-2020-6110 y CVE-2020-6109. Ambas han sido parcheadas por la nueva versión difundida en el sitio oficial de Zoom.
     
  • Existen otras vulnerabilidades que afectan a versiones 4.6 y anteriores que fueron identificadas principalmente entre abril y mayo. En total se han difundido 11 grandes vulnerabilidades desde diciembre de 2019 hasta la fecha.
     
  • Vulnerabilidad parcheada el 10 de julio. Ésta es una vulnerabilidad ZeroDay que podría permitir a un atacante ejecutar código remoto (RCE) en Sistemas Operativos "Windows 7 y Windows Server 2008" que tengan instalada versiones del aplicativo Zoom anteriores a la 5.1.3 (28656.0709)  [última versión liberada].

Vulnerabilidad Zeroday

Investigadores de Check Point Research han descubierto una falla de día cero que afecta al cliente Zoom. La vulnerabilidad afectó a la función Vanity URL de Zoom. En pocas palabras, Vanity URL es una función que permite a los clientes de Zoom crear URL personalizadas. Por ejemplo, las empresas pueden crear URL con los nombres de sus empresas. Como explicó Zoom en su página de soporte:

Una URL personalizada es una URL personalizada para su empresa, como miempresa.zoom.us. Esta URL personalizada es necesaria para la configuración si tiene la intención de activar SSO (inicio de sesión único). Opcionalmente, también puede marcar esta página personalizada para tener un logotipo / marca personalizada, pero generalmente sus usuarios finales no escriben para acceder directamente a esta página personalizada. Sus usuarios finales hacen clic en un enlace para unirse a una reunión.”

Después de este descubrimiento, Investigadores de Check Point Research se acercaron a Zoom, quién solucionó la falla después del informe. Además, en su declaración a Threatpost, un portavoz de Zoom instó a los usuarios a mantenerse atentos.

Panorama

  • Los ciberdelincuentes están al acecho y seguirán buscando vulnerabilidades en los aplicativos, plataformas o sistemas que sean más recurrentes, incrementando así las posibilidades de éxito en sus operaciones delictivas. Es por ello por lo que las organizaciones deben contar con políticas maduras que tengan planes de trabajo para la actualización de sistemas y plataformas.
     
  • Es importante especificar que si van a permitir este aplicativo a nivel organizacional deben extremar las medidas para que la versión utilizada sea la última versión disponible a la fecha en la página oficial del proveedor [al 23 de julio es la v.5.1.3 (28656.0709)], ya que es la que posee todos los parches de seguridad que aseguran la mitigación de las vulnerabilidades de explotación conocidas a la fecha.
     
  • Asimismo, es importante destacar que aún no hay una versión oficial del cifrado E2E, para el uso de este aplicativo. No obstante, según el comunicado oficial de Zoom, se estima debiese ser difundido a fines de julio, aunque ya están en una versión Beta la cual debe ser validada por los usuarios en cada videollamada.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Descargar el aplicativo siempre desde el sitio oficial de la marca, entendiendo que hemos evidenciado múltiples campañas maliciosas de envío de correos malspam que buscan engañar a sus víctimas para que descarguen versiones manipuladas del aplicativo que poseen vínculos a diversas tipos de malware, como también para robar credenciales de autenticación de plataformas que utilicen OAuthv2.0, tales como GSuite o Microsoft Office365.

El listado de las CVE se adjunta a continuación:


Tags: #zoom #parche #zeroday #check #research #vanity #url


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.