Las nuevas fallas de Zoom podrían permitir que los atacantes pirateen a las víctimas con solo enviarles un mensaje

El popular servicio de videoconferencia Zoom ha resuelto hasta cuatro vulnerabilidades de seguridad, que podrían explotarse para comprometer a otro usuario a través del chat mediante el envío de mensajes de protocolo de presencia y mensajería extensible (XMPP) especialmente diseñados y la ejecución de código malicioso. Rastreados desde CVE-2022-22784 hasta CVE-2022-22787, los problemas varían entre 5,9 y 8,1 en gravedad. A Ivan Fratric de Google Project Zero se le atribuye el descubrimiento y el informe de las cuatro fallas en febrero de 2022.

Impacto de la vulnerabilidad

Con la funcionalidad de chat de Zoom construida sobre el estándar XMPP, la explotación exitosa de los problemas podría permitir que un atacante obligue a un cliente vulnerable a enmascarar a un usuario de Zoom, conectarse a un servidor malicioso e incluso descargar una actualización no autorizada, lo que resultaría en la ejecución de código arbitrario, derivado de un ataque de degradación.

La lista de los CVE afectados es la siguiente:

• CVE-2022-22784 (puntaje CVSS: 8.1): análisis XML incorrecto en Zoom Client para reuniones.
• CVE-2022-22785 (puntaje CVSS: 5.9): cookies de sesión restringidas incorrectamente en Zoom Client for Meetings.
• CVE-2022-22786 (puntaje CVSS: 7.5): paquete de actualización a una versión anterior en Zoom Client for Meetings para Windows.
• CVE-2022-22787 (puntaje CVSS: 5.9): validación de nombre de host insuficiente durante el cambio de servidor en Zoom Client for Meetings.

En esencia, los problemas aprovechan las inconsistencias de análisis entre los analizadores XML en el cliente y el servidor de Zoom para «pasar de contrabando» estrofas XMPP arbitrarias, una unidad básica de comunicación en XMPP, al cliente víctima. Específicamente, la cadena de exploits puede armarse para secuestrar el mecanismo de actualización de software y hacer que el cliente se conecte a un servidor intermediario que sirve una versión antigua y menos segura del cliente de Zoom.

Productos afectados

Los productos que se vieron afectados por esta vulnerabilidad son:

Product	Platform	Affected version
Zoom Client for Meetings	Android, IOS, Linux, macOS and Windows	Versiones anteriores a 5.10.0
Zoom Rooms for Conference Room	Windows	Versiones anteriores a 5.10.0

Recomendaciones

• Se recomienda a los usuarios de la aplicación que actualicen a la última versión (5.10.0) para mitigar cualquier amenaza potencial que surja de la explotación activa de las fallas.

Para mas información

• https://thehackernews.com/2022/05/new-zoom-flaws-could-let-attackers-hack.html
• https://explore.zoom.us/en/trust/security/security-bulletin/
• https://bugs.chromium.org/p/project-zero/issues/detail?id=2254
• https://xmpp.org/rfcs/rfc3920.html#stanzas