Una exploración de la superficie de ataque sin clic para la popular solución de videoconferencia Zoom ha arrojado dos vulnerabilidades de seguridad no reveladas anteriormente que podrían haberse explotado para bloquear el servicio, ejecutar código malicioso e incluso filtrar áreas arbitrarias de su memoria.
Natalie Silvanovich de Google Project Zero, quien descubierto y reportó el dos defectos el año pasado, dijo que los problemas afectaron tanto a los clientes de Zoom como a los servidores de enrutador multimedia (MMR), que transmiten contenido de audio y video entre clientes en implementaciones locales.
Desde entonces, Zoom ha abordado las debilidades como parte de actualizaciones enviado el 24 de noviembre de 2021.
El objetivo de un ataque sin clic es obtener el control sigiloso del dispositivo de la víctima sin requerir ningún tipo de interacción por parte del usuario, como hacer clic en un enlace.
Si bien los detalles del exploit variarán según la naturaleza de la vulnerabilidad que se explote, un rasgo clave de los hacks sin clic es su capacidad para no dejar rastros de actividad maliciosa, lo que los hace muy difíciles de detectar.
Los dos defectos identificados por Project Zero son los siguientes:
- CVE-2021-34423 (Puntuación CVSS: 9.8) – A desbordamiento de búfer vulnerabilidad que se puede aprovechar para bloquear el servicio o la aplicación, o ejecutar código arbitrario.
- CVE-2021-34424 (Puntuación CVSS: 7.5): una falla de exposición de la memoria del proceso que podría usarse para obtener información sobre áreas arbitrarias de la memoria del producto.
Al analizar el tráfico RTP (Protocolo de transporte en tiempo real) utilizado para entregar audio y video a través de redes IP, Silvanovich descubrió que es posible manipular el contenido de un búfer que admite la lectura de diferentes tipos de datos mediante el envío de un mensaje de chat con formato incorrecto, lo que hace que el cliente y el servidor MMR se bloquee.
Además, la falta de un NULO check, que se usa para determinar el final de una cadena, hizo posible filtrar datos de la memoria al unirse a una reunión de Zoom a través de un navegador web.
El investigador también atribuyó la falla de corrupción de la memoria al hecho de que Zoom no pudo habilitar ASLR, también conocido como aleatorización del diseño del espacio de direcciones, un mecanismo de seguridad diseñado para aumentar la dificultad de realizar ataques de desbordamiento de búfer.
«La falta de ASLR en el proceso Zoom MMR aumentó en gran medida el riesgo de que un atacante pudiera comprometerlo», dijo Silvanovich. «ASLR es posiblemente la mitigación más importante para prevenir la explotación de la corrupción de la memoria, y la mayoría de las otras mitigaciones dependen de ella en algún nivel para ser efectiva. No hay una buena razón para desactivarla en la gran mayoría del software».
Si bien la mayoría de los sistemas de videoconferencia utilizan bibliotecas de código abierto como WebRTC o PJSIP para implementar comunicaciones multimedia, Project Zero señaló el uso de Zoom de formatos y protocolos patentados, así como sus altas tarifas de licencia (casi $ 1,500) como barreras para la investigación de seguridad.
“El software de código cerrado presenta desafíos de seguridad únicos, y Zoom podría hacer más para que su plataforma sea accesible para los investigadores de seguridad y otras personas que deseen evaluarla”, dijo Silvanovich. «Aunque el equipo de seguridad de Zoom me ayudó a acceder y configurar el software del servidor, no está claro si el soporte está disponible para otros investigadores, y la licencia del software aún era costosa».
