Con motivo del confinamiento por el coronavirus, son muchos los que trabajan y estudian desde casa, lo que hace que sea necesario el uso de aplicaciones de mensajería y plataformas de videoconferencia. Zoom es una de las aplicaciones más usadas en estas últimas semanas, ya que se trata de un software que sirve para realizar reuniones online a través de videoconferencia. Al ser tan popular, provoca que se convierta en uno de los principales objetivos de los cibercriminales, y también de los investigadores de seguridad.
En lo que va del año, se han registrado 1700 dominios maliciosos nuevos relacionados con la aplicación Zoom —un 25 % es de la última semana—. Investigadores han descubierto distintas técnicas que utilizan los hackers para identificarse y unirse a reuniones activas. Por un lado, los cibercriminales logran generar y verificar los ID de las reuniones para dirigirse a las víctimas, y así espiar las conversaciones y tener acceso a todos los archivos compartidos en estas.
Por otro lado, se ha descubierto una falla de seguridad en el cliente de Windows, la cual ha sido documentada en el sitio Bleeping Computers. Se trata de un UNC path injection, que consiste en la inclusión de una ruta a un archivo de una máquina remota o local, es interpretada y renderizada como si se tratara de cualquier otra URL en el cliente. Sin embargo, no lo es, supone un riesgo para la seguridad de los usuarios.

Comienza cuando un usuario malintencionado envía dos enlaces: uno es una URL normal que lleva a una página web; el otro se trata de una ruta que apunta a un servidor malicioso que contiene un supuesto fichero (en la imagen que incluye en la noticia se ve como “cat.jpg”). Cuando el usuario cliquea el segundo enlace, el sistema comienza el protocolo de compartición de ficheros SMB para obtener el fichero del servidor remoto. Esto implica que el sistema trata de autenticar al usuario en el servidor enviando automáticamente las credenciales de usuario de Windows para autenticar en el servidor malicioso y acceder al fichero.

Si bien es cierto que solamente el nombre de usuario se envía en plano, y en el caso de la contraseña se envía el hash, éste puede ser igualmente ‘crackeado’ con herramientas como Hashcat de forma sencilla, y en función de la complejidad de la contraseña, de forma relativamente rápida.

Además del envío de credenciales, este fallo también permite que al hacer click en un enlace a la propia máquina y a un ejecutable de la misma, éste intente ser ejecutado. Afortunadamente, Windows pregunta al usuario si realmente desea ejecutar el binario, motivo por el cual es probable que el usuario interprete esto como una señal de alarma.

Como solución, la aplicación Zoom no debería renderizar como enlaces ‘clickables’ las rutas UNC. No obstante, por el momento y hasta que esta situación sea subsanada, en caso de usar Zoom se recomienda NO hacer click en ningún enlace.

Mientras los desarrolladores de la aplicación trabajan en una actualización, que ya han prometido para los próximos 90 días (https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/), los usuarios pueden reducir el impacto configurando su sistema para evitar el envío automático de credenciales al hacer click en un enlace UNC, yendo a los ajustes de seguridad de Windows.

 

ACTUALIZACIÓN 06/04/2020:
Zoom informa nueva actualización para mejorar la seguridad.
La empresa de comunicaciones online, en respuesta a las críticas por parte de expertos de ciberseguridad, lanzó ayer una actualización que mejora sus puntos débiles. Ahora la aplicación cuenta con dos nuevas funcionalidades: Sala de espera, una etapa obligatoria previa a la conexión de la llamada, donde el organizador podrá decidir quién se une a la call y quién no; y la configuración de doble contraseña, que significa un paso más de control activado por defecto que comienza a funcionar de inmediato.
Para ver efectivos estos cambios, deberá descargarse la versión 4.6.9 (19253.0401) de Zoom Desktop Client o de la aplicación móvil. Para saber qué versión está instalada, puede consultarse en: ¿qué versión de zoom tengo?