Una exploración de la superficie de ataque de cero clics para la popular solución de videoconferencia Zoom ha arrojado dos vulnerabilidades de seguridad no reveladas anteriormente, que podrían haber sido explotadas para bloquear el servicio, ejecutar código malicioso e incluso filtrar áreas arbitrarias de su memoria.
Natalie Silvanovich, de Google Project Zero, que descubrió y notificó los dos fallos, en 2021, dijo que los problemas afectaban tanto a los clientes de Zoom como a los servidores del enrutador multimedia (MMR), que transmiten contenidos de audio y vídeo entre clientes en instalaciones locales.
Desde entonces, Zoom ha solucionado las deficiencias en el marco de las actualizaciones enviadas el 24 de noviembre de 2021.
El objetivo de un ataque “zero-click” es obtener sigilosamente el control del dispositivo de la víctima sin requerir ningún tipo de interacción por parte del usuario, como hacer clic en un enlace.
Aunque los detalles del exploit varían dependiendo de la naturaleza de la vulnerabilidad que se explota, un rasgo clave de los hacks de cero clic es su capacidad de no dejar rastros de actividad maliciosa, lo que los hace muy difíciles de detectar.
Los dos fallos identificados por Project Zero son los siguientes
CVE-2021-34423 (puntuación CVSS: 9,8) – Una vulnerabilidad de desbordamiento de búfer que puede aprovecharse para bloquear el servicio o la aplicación, o ejecutar código arbitrario.
CVE-2021-34424 (puntuación CVSS: 7,5) – Un defecto de exposición de la memoria del proceso que podría utilizarse para obtener potencialmente información sobre áreas arbitrarias de la memoria del producto.
Al analizar el tráfico RTP (Protocolo de Transporte en Tiempo Real) utilizado para entregar audio y vídeo a través de redes IP, Silvanovich descubrió que es posible manipular el contenido de un búfer que admite la lectura de diferentes tipos de datos mediante el envío de un mensaje de chat malformado, provocando el bloqueo del cliente y del servidor MMR.
Además, la falta de una comprobación NULL -que se utiliza para determinar el final de una cadena- hizo posible la fuga de datos de la memoria al unirse a una reunión de Zoom a través de un navegador web.
El investigador también atribuyó el fallo de corrupción de memoria al hecho de que Zoom no habilitó ASLR, alias address space layout randomization, un mecanismo de seguridad diseñado para aumentar la dificultad de realizar ataques de desbordamiento de búfer.
Mientras que la mayoría de los sistemas de videoconferencia utilizan librerías de código abierto como WebRTC o PJSIP para implementar las comunicaciones multimedia, Project Zero señaló el uso de formatos y protocolos propietarios por parte de Zoom, así como sus elevadas tarifas de licencia (casi 1.500 dólares) como barreras para la investigación de la seguridad.
Info – Ciberseguridad Latam