Uma vulnerabilidade zero-day, que permite a um atacante executar remotamente comandos em computadores comprometidos, foi descoberta recentemente na plataforma de videoconferência Zoom. A falha afeta os dispositivos que executam o sistema operacional Windows 7 e versões anteriores.
Desde a descoberta da falha, o Zoom tem trabalhado para atenuar a vulnerabilidade e na última sexta-feira lançou um patch para a versão 5.1.3 (28656.0709), juntamente com um alerta no qual informa que a atualização “corrige um problema de segurança que afeta os usuários que executam o sistema operacional Windows 7 e versões anteriores em seus dispositivos”.
Leituras relacionadas:
- Novas vulnerabilidades críticas são descobertas no app Zoom
- Criminosos vendem exploits para vulnerabilidades zero‑day no Zoom
Os detalhes técnicos da vulnerabilidade, que são escassos e no momento não receberam um identificador de vulnerabilidade e exposição comum (CVE), foram descritos pela ACROS Security em uma postagem no blog 0patch:
"A vulnerabilidade permite que um atacante remoto execute código arbitrário no computador da vítima que possui o cliente do Zoom para Windows instalado (qualquer versão atualmente compatível) ao convencer o usuário a executar algumas ações típicas, como abrir um documento. Durante o ataque, nenhum aviso de segurança é exibido para o usuário”, destacou ACROS Security.
No entanto, a empresa também observou que a falha era "apenas explorável no Windows 7 e em versões anteriores do Windows" e que "provavelmente seria explorável no Windows Server 2008 R2 e em versões anteriores". Por outro lado, o Windows 10 e o Windows 8 não foram afetados pela falha.
A falha foi relatada para a ACROS Security por um pesquisador que preferiu permanecer anônimo. A empresa realizou uma análise das alegações do pesquisador e realizou uma série de testes simulando possíveis cenários de ataque antes de enviar suas descobertas ao Zoom, juntamente com uma prova de conceito e recomendações sobre como corrigir o problema. Não há evidências de que os atacantes tenham explorado a vulnerabilidade como parte de qualquer campanha.
A ACROS Security lançou rapidamente um micropatch na quinta-feira passada que removeu a vulnerabilidade no código antes que o Zoom resolvesse o problema com um patch próprio. O micropatch foi disponibilizado gratuitamente e a empresa também postou um vídeo demonstrando como um usuário pode facilmente desencadear a vulnerabilidade.
A pandemia provocada pela Covid-19 levou muitas empresas a adotar o teletrabalho e as pessoas a se distanciarem socialmente, fazendo com que os aplicativos de videoconferência se tornem essenciais para realizar o trabalho diário e para a vida social.
No caso do Zoom, os holofotes inesperados também ajudaram a revelar uma série de falhas de segurança e privacidade que afetam a plataforma, levando o CEO da empresa, Eric S. Yuan, a anunciar o interrompimento, durante 90 dias, do desenvolvimento de qualquer nova funcionalidade que não estivesse relacionada à segurança ou privacidade do app, a fim de solucionar os problemas. O período de pausa terminou no início deste mês.
De qualquer forma, o ideal é que os usuários do Zoom apliquem o patch mais recente para reduzir o risco de um cibercriminoso atacar seus dispositivos. Se você deseja fortalecer sua segurança de videoconferência, o especialista em segurança da ESET, Tony Anscombe, separou algumas dicas de segurança em suas últimas postagens “Teletrabalho: dicas de segurança para realizar videoconferências” e “Segurança no Zoom: como configurá‑lo corretamente”.