Recientemente se descubrió una vulnerabilidad zero-day en la plataforma de videoconferencia Zoom que permitía a un atacante ejecutar comandos de forma remota en equipos que habían sido comprometidos. La vulnerabilidad afectaba a los dispositivos que utilizan el sistema operativo Windows 7 y versiones anteriores.

Desde entonces, Zoom ha estado trabajando en mitigar el fallo y lanzó el pasado viernes un parche para la versión 5.1.3  (28656.0709) junto con un comunicado en el que indica que la actualización "soluciona un problema de seguridad que afecta a los usuarios que corren el sistema operativo Windows 7 y versiones anteriores".

Quizás te interese:

Los detalles técnicos sobre la vulnerabilidad, que son escasos y por el momento no se le asignó un identificador de vulnerabilidades y exposiciones comunes (CVE), fueron descritos por primera vez por ACROS Security en una publicación de su blog 0patch:

“La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en la computadora de una víctima que tiene instalado el cliente de Zoom para Windows (cualquier versión actualmente compatible) al convencer al usuario para que realice algunas acciones típicas, como abrir un documento. Durante el ataque no se despliega ninguna advertencia de seguridad al usuario”, dijo ACROS.

Sin embargo, la compañía también señaló que el fallo era "solo explotable en Windows 7 y versiones más antiguas de Windows", y que "probablemente también sea explotable en Windows Server 2008 R2 y versiones anteriores". Por el contrario, Windows 10 y Windows 8 no se ven afectados por el fallo.

El fallo fue reportado a ACROS por un investigador que prefirió permanecer en el anonimato. Luego, la compañía realizó un análisis de las afirmaciones presentadas por el investigador y realizó una serie de pruebas simulando posibles escenarios de ataque antes de enviar sus hallazgos a Zoom junto con una prueba de concepto y recomendaciones sobre cómo solucionar el problema. No hay evidencia de que atacantes hayan explotado la vulnerabilidad como parte de alguna campaña.

ACROS rápidamente lanzó también un microparche el pasado jueves que elimina la vulnerabilidad en el código antes de que Zoom abordara el problema con un parche propio. El micropatch se puso a disposición de forma gratuita y la compañía publicó además un video demostrando cómo un usuario podría fácilmente desencadenar la vulnerabilidad.

La pandemia del COVID-19 ha llevado a muchas compañías a adoptar el teletrabajo y a las personas a distanciarse socialmente, provocando que las aplicaciones de videoconferencia se vuelvan imprescindibles para llevar a cabo el trabajo diario y la vida social.

En el caso de la herramienta para realizar videoconferencias, el inesperado crecimiento que tuvo el uso de la aplicación y la atención que recibió como consecuencia de este contexto permitió hizo posible que se conocieran múltiples fallos de seguridad y privacidad que afectaban a Zoom, lo que finalmente llevó a su CEO, Eric S. Yuan, a anunciar que paralizarían durante 90 días el desarrollo de cualquier nueva funcionalidad que no estuviera relacionada a la seguridad o la privacidad con el objetivo de remediar los problemas. La pausa autoimpuesta finalizó el 1 de julio.

En cualquier caso, se recomienda a los usuarios de Zoom que instalen el último parche para mitigar el riesgo de que un actor malintencionado pueda atacar sus dispositivos. Por otra parte, si desea fortalecer la seguridad de sus videoconferencias, el especialista en seguridad de ESET, Tony Anscombe, compartió varias recomendaciones de seguridad en sus artículos consideraciones de seguridad a la hora de realizar videoconferencias y cómo configurar Zoom de manera correcta.