El mecanismo Vanity URL permite a las organizaciones crear una versión personalizada de los enlaces de invitaciones de Zoom.
Los investigadores de la firma de ciberseguridad CheckPoint revelaron detalles de una falla menor pero fácil de explotar en Zoom, el software de videoconferencia muy popular y ampliamente utilizado.
Un atacante podría haber intentado hacerse pasar por el enlace de Vanity URL de una organización y enviar invitaciones que parecían legítimas para engañar a una víctima. Además, el atacante podría haber dirigido a la víctima a un sitio web dedicado de subdominio, donde la víctima ingresó al ID de la reunión correspondiente y no se le hizo saber que la invitación no provenía de la organización legítima.
El problema de seguridad se centra en las funcionalidades de subdominio descritas anteriormente. Hay varias formas de ingresar a una reunión que contiene un subdominio, incluido el uso de un enlace directo de subdominio que contiene el ID de la reunión o el uso de la interfaz de usuario web personalizada del subdominio de la organización.
Hay muchos escenarios relevantes del día a día que podrían haberse aprovechado utilizando este método de suplantación, lo que podría haber resultado en un intento de phishing exitoso, especialmente si se utiliza para suplantar la URL de Zoom Vanity de una empresa. Por ejemplo, un atacante podría haberse presentado como empleados legítimos en la empresa, enviando una invitación desde el Vanity URL de una organización a clientes relevantes para ganar credibilidad. Esta actividad podría haberse aprovechado para robar credenciales e información confidencial, así como otras acciones de fraude.
Todos los detalles de cómo un atacante podría hacerse pasar por los enlaces de subdominio Zoom de una organización o el sitio web real de subdominio se notificaron responsablemente a Zoom Video Communications, Inc.. Zoom ha solucionado este problema de seguridad, por lo que las vulnerabilidades descritas ya no son posibles.
Más información: