Zoom ha estado allí durante nueve años, pero el requisito inmediato de una aplicación de videoconferencia fácil de usar durante la pandemia de coronavirus la convirtió en una de las herramientas de comunicación más favoritas para millones de personas en todo el mundo.
Sin duda, Zoom es una solución eficiente de reunión de video en línea que ayuda a las personas a mantenerse socialmente conectadas durante estos tiempos sin precedentes, pero aún no es la mejor opción para todos, especialmente para aquellos que realmente se preocupan por su privacidad y seguridad.
Según el experto en ciberseguridad @ _g0dmode , el software de videoconferencia Zoom para Windows es vulnerable a una inyección de ruta UNC clásica.'vulnerabilidad que podría permitir a atacantes remotos robar las credenciales de inicio de sesión de Windows de las víctimas e incluso ejecutar comandos arbitrarios en sus sistemas.
Tales ataques son posibles porque Zoom para Windows admite rutas remotas UNC que convierten URI potencialmente inseguros en hipervínculos cuando se reciben a través de mensajes de chat a un destinatario en un chat personal o grupal.
Para robar las credenciales de inicio de sesión de Windows de un usuario objetivo, todo lo que un atacante debe hacer es enviar una URL diseñada (es decir, \\ xxxx \ abc_file) a una víctima a través de una interfaz de chat.
Una vez que se hace clic, el ataque eventualmente permitiría que el recurso compartido SMB controlado por el atacante capture automáticamente datos de autenticación de Windows, sin el conocimiento del usuario objetivo.
Como se muestra, Ormandy demostró cómo la falla de inyección de ruta UNC en Zoom también se puede explotar para ejecutar un script por lotes, sin un aviso, que contiene comandos maliciosos cuando se llama desde el directorio de descarga predeterminado de Windows.
El segundo escenario de ataque se basa en el hecho de que los navegadores que se ejecutan en el sistema operativo Windows guardan automáticamente la descarga en una carpeta predeterminada, que se puede abusar para engañar primero a un usuario para que descargue el script por lotes y luego lo active usando el error de zoom.
Para tener en cuenta, para explotar este problema, un atacante debe conocer el nombre de usuario de Windows para el usuario objetivo, que, sin embargo, se puede obtener fácilmente utilizando el primer ataque SMBRelay.
Además, otro investigador de seguridad con el nombre ' pwnsdx ' en Twitter compartió otro truco con The Hacker News que podría permitir a los atacantes ocultar enlaces maliciosos cuando se muestran al final de los destinatarios, lo que podría hacer que parezca más convincente y práctico.
¿Qué deben hacer los usuarios de Zoom?
Un día después de que THN público este informe, Zoom se disculpó por no cumplir con las expectativas de privacidad y seguridad y lanzó una versión actualizada si el software para parchar informó recientemente sobre múltiples problemas de seguridad, incluida la inyección de ruta UNC).
Además de usar una contraseña segura , los usuarios de Windows también pueden cambiar la configuración de la política de seguridad para restringir que el sistema operativo pase automáticamente sus credenciales NTML a un servidor SMB remoto.
Más incidentes de seguridad y privacidad relacionados con Zoom
Este no es el único problema que se ha descubierto en el software de videoconferencia Zoom en los últimos días, lo que ha generado preocupaciones de privacidad y seguridad entre millones de usuarios.
El FBI está advirtiendo a los usuarios de zoom del ataque " Bombardeo con zoom " después de que algunas personas encuentren la manera de colarse en reuniones desprevenidas y reuniones en línea y los bombardearon con imágenes pornográficas o comentarios racistas.
Justo ayer, otro informe confirmó que Zoom no utiliza el cifrado de extremo a extremo para proteger los datos de llamadas de sus usuarios de miradas indiscretas a pesar de decirles a los usuarios que "Zoom está utilizando una conexión cifrada de extremo a extremo".
La semana pasada, Zoom actualizó su aplicación para iOSdespués de que se descubrió que compartía la información del dispositivo de los usuarios con Facebook, suscitando preocupaciones legítimas sobre la privacidad de los usuarios.
A principios de este año, Zoom también corrigió otro error de privacidad en su software que podría haber permitido que personas no invitadas se unan a reuniones privadas y espíen de forma remota el audio, el video y los documentos privados compartidos durante la sesión.
https://thehackernews.com/2020/04/zoom-windows-password.html
Sin duda, Zoom es una solución eficiente de reunión de video en línea que ayuda a las personas a mantenerse socialmente conectadas durante estos tiempos sin precedentes, pero aún no es la mejor opción para todos, especialmente para aquellos que realmente se preocupan por su privacidad y seguridad.
Según el experto en ciberseguridad @ _g0dmode , el software de videoconferencia Zoom para Windows es vulnerable a una inyección de ruta UNC clásica.'vulnerabilidad que podría permitir a atacantes remotos robar las credenciales de inicio de sesión de Windows de las víctimas e incluso ejecutar comandos arbitrarios en sus sistemas.
Tales ataques son posibles porque Zoom para Windows admite rutas remotas UNC que convierten URI potencialmente inseguros en hipervínculos cuando se reciben a través de mensajes de chat a un destinatario en un chat personal o grupal.
Hackear Zoom para robar contraseñas de Windows de forma remota
Confirmado por el investigador Matthew Hickey y demostrado por Mohamed Baset , el primer escenario de ataque involucra la técnica SMBRelay que explota el hecho de que Windows expone automáticamente el nombre de usuario de inicio de sesión del usuario y el hash de contraseña NTLM a un servidor SMB remoto cuando intenta conectarse y descargar un archivo alojado en eso.Para robar las credenciales de inicio de sesión de Windows de un usuario objetivo, todo lo que un atacante debe hacer es enviar una URL diseñada (es decir, \\ xxxx \ abc_file) a una víctima a través de una interfaz de chat.
Una vez que se hace clic, el ataque eventualmente permitiría que el recurso compartido SMB controlado por el atacante capture automáticamente datos de autenticación de Windows, sin el conocimiento del usuario objetivo.
Cabe señalar que las contraseñas capturadas no son texto sin formato; en cambio, NTLM los manipula, pero uno débil se puede descifrar fácilmente en segundos usando herramientas para descifrar contraseñas como HashCat o John the Ripper.
En un entorno compartido, como el espacio de oficina, las credenciales de inicio de sesión de Windows robadas se pueden reutilizar de inmediato para comprometer a otros usuarios o recursos de TI, y lanzar nuevos ataques.
Explotar Zoom para comprometer sistemas Windows de forma remota
Además de robar las credenciales de Windows, la falla también se puede explotar para iniciar cualquier programa que ya esté presente en una computadora objetivo o ejecutar comandos arbitrarios para comprometerla de forma remota, según confirmó el investigador de seguridad de Google Tavis Ormandy.
El segundo escenario de ataque se basa en el hecho de que los navegadores que se ejecutan en el sistema operativo Windows guardan automáticamente la descarga en una carpeta predeterminada, que se puede abusar para engañar primero a un usuario para que descargue el script por lotes y luego lo active usando el error de zoom.
Para tener en cuenta, para explotar este problema, un atacante debe conocer el nombre de usuario de Windows para el usuario objetivo, que, sin embargo, se puede obtener fácilmente utilizando el primer ataque SMBRelay.
Además, otro investigador de seguridad con el nombre ' pwnsdx ' en Twitter compartió otro truco con The Hacker News que podría permitir a los atacantes ocultar enlaces maliciosos cuando se muestran al final de los destinatarios, lo que podría hacer que parezca más convincente y práctico.
¿Qué deben hacer los usuarios de Zoom?
Un día después de que THN público este informe, Zoom se disculpó por no cumplir con las expectativas de privacidad y seguridad y lanzó una versión actualizada si el software para parchar informó recientemente sobre múltiples problemas de seguridad, incluida la inyección de ruta UNC).
Además de usar una contraseña segura , los usuarios de Windows también pueden cambiar la configuración de la política de seguridad para restringir que el sistema operativo pase automáticamente sus credenciales NTML a un servidor SMB remoto.
Más incidentes de seguridad y privacidad relacionados con Zoom
Este no es el único problema que se ha descubierto en el software de videoconferencia Zoom en los últimos días, lo que ha generado preocupaciones de privacidad y seguridad entre millones de usuarios.
El FBI está advirtiendo a los usuarios de zoom del ataque " Bombardeo con zoom " después de que algunas personas encuentren la manera de colarse en reuniones desprevenidas y reuniones en línea y los bombardearon con imágenes pornográficas o comentarios racistas.
Justo ayer, otro informe confirmó que Zoom no utiliza el cifrado de extremo a extremo para proteger los datos de llamadas de sus usuarios de miradas indiscretas a pesar de decirles a los usuarios que "Zoom está utilizando una conexión cifrada de extremo a extremo".
La semana pasada, Zoom actualizó su aplicación para iOSdespués de que se descubrió que compartía la información del dispositivo de los usuarios con Facebook, suscitando preocupaciones legítimas sobre la privacidad de los usuarios.
A principios de este año, Zoom también corrigió otro error de privacidad en su software que podría haber permitido que personas no invitadas se unan a reuniones privadas y espíen de forma remota el audio, el video y los documentos privados compartidos durante la sesión.
https://thehackernews.com/2020/04/zoom-windows-password.html
