Zoom: anatomía de 1 app masiva y vulnerable

Zoom aparecen nuevas vulnerabilidades

Zoom aparecen nuevas vulnerabilidades

Gracias a una investigación realizada sobre la aplicación de usuario de Zoom, 2 investigadores de Computest ganaron u$s 200.000.-

Zoom fue la puerta de acceso a uno de los premios en efectivo más grandes en la competencia Zero Day Initiative White Hackers de Pwn2Own para encontrar fallas de seguridad en software y servicios populares.

Daan Keuper y Thijs Alkemade recibieron el premio por demostrar una cadena de ataques a tres vulnerabilidades sin parchear en el software de videoconferencia Zoom, que permite la ejecución remota de código en una máquina comprometida sin la interacción del usuario.

Lo saben ellos y….

Los detalles técnicos específicos de las vulnerabilidades se mantienen en secreto para que Zoom tenga tiempo de solucionar un problema crítico de seguridad.

Sin embargo, la animación del ataque demuestra cómo un atacante abre el programa de calculadora de la máquina que ejecuta Zoom.

Según Malwarebytes, el ataque funciona con las versiones de Zoom de Windows y Mac, pero aún no se ha probado en iOS o Android.

No representa una amenaza para la versión del navegador de Zoom.

En un comunicado, Zoom agradeció a los investigadores de Computest.

La compañía dijo que está “trabajando para resolver este problema en Zoom Chat” y que las reuniones de Zoom en sesión, así como los seminarios web de video de Zoom, no se ven afectados por este exploit.

“El ataque también debe originarse en un contacto externo aprobado o ser parte de la misma cuenta de la organización que la víctima”, agregó Zoom.

La compañía recomendó a los usuarios como una mejor práctica aceptar solo solicitudes de contacto de personas que conocen y en las que confían.

De acuerdo con la práctica estándar para la divulgación responsable de vulnerabili-dades, los proveedores de software tienen una ventana de 90 días para resolver los problemas de seguridad detectados.

Los usuarios finales deben esperar hasta que se publique el parche, pero si están preocupados por el riesgo, aún pueden usar Zoom desde un navegador.

Microsoft Teams y Zomm dos aplicaciones vulnerables que exponen la superficie de las compañías que las utilizan

De los 23 participantes en la competencia Zero Day Initiative, DEVCORE y OV también recibieron u$s 200.000.- cada uno por los errores encontrados en Microsoft Exchan-ge y Microsoft Teams.

De la misma forma que nos asombramos a diario con el avance de la pandemia, con la adaptación y mutación de los Coronavirus.

Surge una precupación paralela sobre las aplicaciones que se han vuelto centrales para el desarrollo de la Economía en el marco de la nueva realidad.

Hace ya varios años que vengo reclamando que no es sustentables desarrollar con equipos que no cuenten con un analista de seguridad.

El modelo de desarrollo y parche posterior, ya no es sustentable para esta industria.

De la misma forma que consideramos imprudente a una persona que con algún síntoma de Coronavirus, toma contacto con otras personas, solo porque no se realizó un test, es irreponsable un arquitecto que no somete su creación al análisis de seguridad.

IT CONNECT LATAM

Información de valor para ejecutivos que toman decisiones de negocios

La falsa sensación de seguridad que brinda el conocimiento, es efímera y decenas de miles de ataques me respaldan en la idea.

Necesitamos establecer nuevas buenas prácticas que ataquen el problema desde la génesis del problema, “el diseño”.

Las vulnerabilidades del negocio son cada día más evidentes, las fallas que se encuentran en la arquitectura de sistemas de gran envergadura, demuestra que nadie está exento a los errores de diseño que luego los cibercriminales con un IQ envidiable, los encuentran cada vez de forma más automatizada.

El criterio de razonabilidad para marcar la sustentablidad de un negocio, sin dudas debe cambiar.

Zoom, al igual que Microsoft Teams son dos herramientas usadas en forma masiva por cientos de corporaciones, en este tipo de aplicaciones masivas no podemos permitir-nos este grado de inocencia.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

Lea más

Bots de Telegram y Google Forms: phishing del siglo 21

Servicio al Cliente: el cibercrimen da cátedra en 2021

Kaspersky MDR basado en Machine Learning el killerapp del 21

Stalkerware 2021, crece el fenómeno en Latam

Atacantes vs. Defensores: Perspectivas sobre la Ciberseguridad 2021 

92 / 100