A los problemas de seguridad que se han conocido en Zoom durante las últimas semanas se suma la noticia de que están siendo comercializados en el mercado dos exploits para vulnerabilidades críticas en este software de videoconferencias. Las vulnerabilidades que aprovechan estos exploits están presentes en el cliente para Windows y en el de MacOS y permitirían a un atacante comprometer los dispositivos de los usuarios y espiar las llamadas que realizan a través de la herramienta.
Tres fuentes conocedoras de estos mercados confirmaron la comercialización de estos dos exploits. Si bien no se conocen los detalles de los códigos maliciosos que aprovechan estos fallos, las distintas fuentes han sido contactadas por intermediarios que se los han ofrecido, explicó el sitio Motherboard.
Un exploit no es un malware, sino un código que permite aprovechar el fallo para que el atacante acceder a un sistema y proporcionar los permisos necesarios para luego infectarlo. Cuando hablamos de exploits zero-days nos referimos a códigos que explotan vulnerabilidades desconocidas; es decir, que no han sido reportadas previamente al público, lo que significa que no hay un parche o actualización disponible que repare el fallo de seguridad y por eso suponen una grave amenaza.
Los exploits para una vulnerabilidad zero-day suelen ser comercializados en el mercado negro por grandes sumas de dinero, dependiendo del software al que afectan. En el caso de Zoom, la gran popularidad que ha tenido recientemente esta aplicación a partir de que muchas empresas e instituciones educativas implementaran el trabajo y el dictado de clases a distancia, como consecuencia de la pandemia del nuevo coronavirus (COVID-19), despertó el interés de los cibercriminales, quienes han puesto su atención en este software con la esperanza de descubrir vulnerabilidades que luego pueden vender en la dark web y foros de hacking, explicó Vice.
En el caso del exploit zero-day para el cliente Zoom en Windows, el mismo aprovecha una vulnerabilidad que permite la ejecución remota de código en la computadora de la víctima. Los exploits de ejecución remota de código (RCE, por sus siglas en inglés) son de gran valor, ya que permiten a un atacante comprometer el dispositivo apuntado sin necesidad de recurrir a correos de phishing en los que se necesita que la víctima cometa un error y descargue un archivo o haga clic en un enlace. Según confirmó una de las fuentes al medio, el exploit para Windows se está ofreciendo a más de $500.000.
En el caso de la zero-day para el cliente Zoom en MacOS, no se trata de un exploit de ejecución remota de código y es más difícil de utilizar, lo que lo hace menos severo.
Cuentas de Zoom comercializadas en la dark web
Esta semana también se conoció que cibercriminales están vendiendo en la dark web y foros clandestinos cuentas de Zoom por muy poco dinero y en algunos casos las están ofreciendo incluso de manera gratuita. Las formas en las que obtienen estas credenciales es mediante ataques de credential stuffing, el cual consiste en la utilización de combinaciones de nombres de usuario y contraseñas que fueron filtradas en distintas brechas de seguridad y que permite a los atacantes armar un listado de aquellas combinaciones que funcionan para luego venderlas a otros cibercriminales para realizar otros ataques.
La empresa Cyble explicó al sitio BleepingComputer que desde el 1 de abril observó en foros de hacking este fenómeno en los que se ofrecían de manera gratuita paquetes de cuentas vinculadas a distintos colegios y universidades de los Estados Unidos.
Además, la empresa de seguridad realizó la compra de algunos paquetes de estos datos con la intención de alertar a sus clientes y comentó al medio que los paquetes adquiridos contenían direcciones de correo, contraseñas, URL de reuniones y claves de anfitrión, por lo que se recomienda cambiar las claves.
Para descubrir si su dirección de correo y contraseña fueron filtradas en alguna brecha, recomendamos la lectura del artículo Cómo saber si la contraseña que utilizas fue filtrada en una brecha.