El caos y el pánico creado a principios de esta semana, aún no ha terminado, luego de la divulgación de una vulnerabilidad a la privacidad en el popular software de videoconferencia Zoom, muy popular y ampliamente utilizado.

Como sospechábamos, resulta que el problema principal, un servidor web instalado localmente por el software, no solo permitía que cualquier sitio web activara la cámara web de tu dispositivo, sino que también permitía a los ciberdelincuentes tomar el control completo de una computadora Mac de Apple de forma remota.

Según sabemos, la plataforma de videoconferencias basada en la nube Zoom, para macOS también se ha encontrado vulnerable a otra falla grave (CVE-2019-13567), que podría permitir a los atacantes remotos ejecutar código arbitrario en un sistema específico con solo convencer a los usuarios a que visiten una página web de aspecto inocente.

Detalles de la falla
Como explicó Swati Khandelwal, la aplicación Zoom contenía una vulnerabilidad crítica (CVE-2019-13450) que reside en la forma en que se implementa su función clic para unirse, este enciende automáticamente la cámara web de los usuarios cuando visitan un enlace de invitación

Ambas vulnerabilidades se originan en un servidor web local controversial, que se ejecuta en el puerto 19421, en el cliente de Zoom que los usuarios instalan para tener la función clic para unirse.

El investigador de seguridad Jonathan Leitschuh destacó principalmente dos problemas: en primer lugar, el servidor local “inseguro” recibe comandos a través de HTTP, permitiendo que cualquier sitio web interactúe con él, y en segundo lugar, no se desinstala cuando los usuarios eliminan el cliente Zoom de sus sistemas , dejándolos vulnerables para siempre.

Inmediatamente después de recibir muchas críticas por parte de todos, la compañía lanzó una actualización de emergencia para su software, con el afán de eliminar por completo la implementación del servidor web vulnerable (ZoomOpener daemon).

Sin embargo, la actualización del software no puede proteger a los antiguos clientes que ya no están usando el software, pero tienen el servidor web vulnerable aún activado en sus sistemas sin saberlo.

Falla persistente

De manera preocupante, según un aviso  publicado por National Vulnerability Database (NVD), la falla RCE recientemente descubierta también funciona contra los usuarios que ya han desinstalado el software de conferencia, pero su servidor web aún está activado y escucha en el puerto 19421.

Mientras tanto, para ayudar a sus usuarios, Apple sorprendentemente ayer intervino y presionó silenciosamente una actualización para todos los usuarios de macOS, que elimina automáticamente el servidor web de Zoom sin requerir la interacción del usuario, no importa si todavía están utilizando el software o no.

Los detalles técnicos de la nueva falla de ejecución remota de código en el cliente Zoom para macOS aún no están disponibles, pero Jonathan y otros investigadores confirmaron y demostraron la existencia de un exploit de prueba de concepto, como se muestra en el video de arriba.

Compartiremos más detalles sobre esta nueva falla de RCE con nuestros lectores , tan pronto como estén disponibles.

Cómo protegerte

Para protegerte contra ambas vulnerabilidades, se recomienda a los usuarios de Zoom que instalen las últimas actualizaciones del sistema, así como que actualicen inmediatamente a la versión 4.4.53932.0709 del cliente de Zoom o simplemente desinstalen el software y solo usen la versión del navegador del cliente de la popular aplicación.


Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *