Se conoció el hallazgo de dos nuevas vulnerabilidades críticas en la herramienta para realizar videoconferencias Zoom que permitirían a un atacante comprometer el equipo de la víctima enviando mensajes especialmente diseñados a través del chat de la herramienta. De esta manera, un atacante que logre explotar estas nuevas vulnerabilidades (CVE-2020-6109 y CVE-2020-6110) podría ejecutar código malicioso al escribir o plantar archivos arbitrarios, los cuales permiten al atacante hacer modificaciones en el sistema comprometido.
Descubiertas por el equipo de Cisco Talos, en el caso de la vulnerabilidad CVE-2020-6109, que afecta a la versión 4.6.10 de Zoom lanzada el 7 de abril, la misma radica en la forma en que el cliente procesa mensajes que incluyen GIFs animados mediante el servicio Giphy, el cual permite a los usuarios buscar y enviadr GIFs animados a través del chat de la herramienta.
Lectura relacionada: Seguridad en Zoom: cómo configurarla de manera correcta
Según los investigadores, el problema está en que la aplicación no valida si un GIF enviado proviene de Giphy, permitiendo a un atacante enviar GIFs desde otro servicio bajo su control que Zoom almacenará en una carpeta dentro del directorio de instalación de la herramienta en el sistema de la víctima. De esta manera, el atacante puede engañar a la aplicación para guardar archivos arbitrarios que simulan ser GIFs fuera del directorio de instalación del cliente.
En el caso de la segunda vulnerabilidad (CVE-2020-6110), que también afecta a la versión 4.6.10 de Zoom, la misma radica en la forma de procesar mensajes que incluyen fragmentos de código (snippets) compartidos a través del chat de la app, permitiendo a un atacante explotar la vulnerabilidad a través del envío de mensajes especialmente diseñados para plantar binarios arbitrarios que permitirían en una segunda instancia la ejecución de código arbitrario sin necesidad de interacción por parte de la víctima.
Según explican los investigadores, a partir de la instalación de un complemento la herramienta para realizar videoconferencias permite compartir estos fragmentos de código generando un archivo zip, pero el receptor del snippet no necesita instalar el complemento para recibirlo.
Para compartir un fragmento de código se crea un archivo zip que se carga en un servidor de almacenamiento de Zoom, para luego obtener un ID del archivo que se utilizará al momento de enviar un mensaje al receptor, el cual buscará el archivo en la ruta de almacenamiento de datos de Zoom y lo almacenará en el disco con un nombre de archivo único. El problema está en que la herramienta descomprimirá el zip descargado de manera automática y sin validarlo para permitir obtener una visa previa del snippet. De esta manera, un atacante podrá plantar en el equipo de la víctima binarios arbitrarios mediante archivos zip.
Luego de ser reportados ambos fallos, Zoom reparó los mismos en mayo y lanzó un parche en la última versión publicada el 2 de junio (5.0.5), por lo que se recomienda actualizar el cliente para evitar riesgos.
Luego de los varios problemas de seguridad vinculados a Zoom durante los meses de marzo y abril, la herramienta para realizar videoconferencias, que creció en popularidad junto con la pandemia ante la necesidad principalmente de muchas empresas e instituciones educativas de continuar sus actividades de manera remota, se vio cuestionada y en algunos casos fue hasta prohibida. Sin embargo, el anuncio del descubrimiento de estas nuevas vulnerabilidades críticas ocurre cerca del anuncio de la compañía de que no cifrará de extremo a extremo las videollamadas para los usuarios suscriptos al servicio gratuito y que sólo lo hará en el caso de usuarios suscriptos a planes pagos.