El cliente de video conferencias web de Zoom contenía una vulnerabilidad de día cero que podría haber permitido a los atacantes ejecutar comandos en sistemas vulnerables de forma remota.
La explotación de la vulnerabilidad requería al menos alguna forma de acción por parte de la víctima, como descargar y abrir un archivo adjunto malicioso, sin embargo, no se activarían notificaciones de seguridad durante la explotación.
Un investigador, que prefiere permanecer en el anonimato, contactó al equipo de 0patch para revelar la vulnerabilidad en lugar de informarla directamente a Zoom.
Los investigadores de 0patch luego emitieron un «micropatch» sin cargo hasta que Zoom pudo lanzar el suyo.
“Algunas ingenierías sociales casi siempre se requieren con los RCE del lado del cliente; algunos requieren que el usuario abra un documento malicioso, algunos que visiten una página web maliciosa, algunos que se conecten a un servidor RDP malicioso, etc. Estas no son acciones inusuales para el usuario, pero no pueden realizarlas sin un poco de atractivo ”.
Zoom lanzó un parche en la última versión 5.1.3 (28656.0709) para usuarios de Windows a partir del 10 de julio, y se recomienda a los usuarios que descarguen la versión más reciente de la aplicación cliente.
Las notas de la versión confirman que la actualización «soluciona un problema de seguridad que afecta a los usuarios que ejecutan Windows 7 y versiones anteriores».
Solo se sabe que la vulnerabilidad es explotable en Windows 7 y versiones anteriores, pero también puede ser explotable en Windows Server 2008 R2 y versiones anteriores.
0patch informó a sus usuarios que su micropatch protegerá a los usuarios contra esta vulnerabilidad independientemente del sistema operativo que se esté utilizando.
Actualizaciones futuras
Zoom también ha publicado notas sobre una actualización planificada que saldrá para usuarios de teléfonos y web el 12 de julio de 2020.
La actualización promete aumentar el cifrado de AES-128 a AES-256 de forma predeterminada. También presenta una función de «monitoreo de llamadas» para usuarios de dispositivos móviles, que les permite efectivamente «escuchar una llamada sin que las partes lo sepan; hablar con un usuario del teléfono en una llamada sin que otras partes lo sepan; unirse a una llamada y hablar con todas las partes ; o hacerse cargo de la llamada de otro usuario «.
Entre otras características y mejoras se encuentra la llamada «opción de centro de datos de Singapur». La opción permite a los propietarios y administradores de cuentas enrutar reuniones en tiempo real y el tráfico de seminarios web a través de centros de datos ubicados en Singapur.
Además, la actualización web del 12 de julio sale con un marcado rápido personalizado que admite la función de campo de luz de ocupado (BLF), estacionamiento de llamadas, la capacidad de crear un directorio compartido de contactos externos y «correcciones de errores menores».
Mientras tanto, la actualización permitirá a los usuarios del teléfono acceder a los directorios de usuarios del teléfono y transferir llamadas activas a la bandeja de entrada del correo de voz de otro usuario.
Se recomienda a los usuarios de Zoom activar las actualizaciones automáticas para protegerse contra fallas de seguridad.