
La semana pasada, el investigador Jonathan Leytsach publicó una publicación muy emotiva sobre las
vulnerabilidades del cliente de conferencias web de Zoom para macOS. En este caso, no está del todo claro si la vulnerabilidad fue un error no deseado o una característica planificada previamente. Tratemos de resolverlo, pero en resumen, resulta así: si tiene instalado el cliente Zoom, el atacante puede conectarlo a su grupo de noticias sin demanda, además, puede activar la cámara web sin solicitar permisos adicionales.
El momento en que, en lugar de buscar una versión parcheada, alguien decide simplemente eliminar el cliente del sistema. Pero en este caso no ayudará: se instala un servidor web con el cliente, que funciona incluso después de la desinstalación; incluso es capaz de "devolver" el software del cliente a su lugar. Por lo tanto, incluso aquellos que alguna vez usaron los servicios de Zoom, pero luego se detuvieron, estaban en peligro. Apple acudió en su ayuda, sin mucha fanfarria, lo que eliminó el servidor web con una actualización para el sistema operativo. Esta historia es un verdadero drama infosec, en el que los usuarios solo pueden ver cómo aparece y desaparece el software en sus computadoras.
El estudio de los métodos de trabajo del cliente Zoom comenzó con el estudio del servidor web local: el sitio web del servicio intenta acceder a él al abrir un enlace para conectarse al grupo de noticias. Se utilizó un método relativamente elegante para consultar el estado de un servidor local, transmitiendo una imagen de cierto formato.
Esto se hace para evitar las limitaciones del navegador siguiendo las reglas de
Cross-Origin Resource Sharing . También puede enviar una solicitud de conexión de conferencia al servidor web de Zoom. Esta consulta se parece a esto:
Puede crear una conferencia, realizar una solicitud similar en una página web, enviar un enlace a la víctima y el cliente instalado en la computadora se conectará automáticamente con el usuario. Además, vale la pena mirar los parámetros de la conferencia web en sí:
Tiene la opción de obligar a la cámara web del usuario a encenderse. Es decir, puede atraer a una persona desprevenida a una llamada de conferencia e inmediatamente recibir una imagen de la cámara (pero la víctima deberá activar manualmente el sonido del micrófono). En el cliente Zoom, la inclusión automática de la cámara se puede bloquear, pero con la configuración predeterminada, la cámara se enciende inmediatamente. Por cierto, si envía solicitudes para conectarse a la conferencia de forma continua, la aplicación Zoom cambiará constantemente el enfoque hacia sí misma, evitando que el usuario cancele esta acción de alguna manera. Este es un ataque clásico de denegación de servicio.
Finalmente, el investigador confirmó la capacidad de forzar la actualización o reinstalar el cliente Zoom si se está ejecutando un servidor web en la computadora. La reacción del vendedor estuvo inicialmente lejos de ser ideal. Los desarrolladores de Zoom propusieron varias opciones para "parches" en la lógica del servidor web para excluir la posibilidad de conectar usuarios sin demanda. Todos ellos se movieron fácilmente o complicaron un poco la vida de un atacante potencial. La solución final fue agregar otro parámetro pasado al servidor local. Como descubrió el investigador, tampoco resolvió el problema. Lo único que se reparó con precisión fue la vulnerabilidad que permitió un ataque DoS. Y en la propuesta de Jonathan de eliminar la inclusión de una cámara web a pedido del organizador de la conferencia, la respuesta fue completamente dada de que esta es una característica, "es más conveniente para los clientes".
La primera vez que un investigador intentó ponerse en contacto con los desarrolladores de Zoom el 8 de marzo. El 8 de julio, el plazo de tres meses generalmente aceptado para corregir la vulnerabilidad expiró, y Jonathan publicó una publicación sobre lo que consideraba un problema no resuelto. Solo después de la publicación del artículo, Zoom tomó medidas más radicales: el 9 de julio, se
lanzó un parche que elimina por completo el servidor web de las computadoras que ejecutan macOS.
Los estimados editores se comunican regularmente por videoconferencia y pueden decir por experiencia personal: todos lo hacen. No en el sentido de que todos instalen un servidor web local con el cliente y luego olviden eliminarlo. Todos o casi todos los servicios de conferencia requieren más privilegios en el sistema que los que puede proporcionar una página de navegador. Por lo tanto, se utilizan aplicaciones locales, extensiones de navegador y otras herramientas, para que el micrófono y la cámara funcionen durante el proceso de comunicación, puede compartir archivos y la imagen de su escritorio. Francamente, la "vulnerabilidad" (o más bien, un error deliberado en la lógica) de Zoom no es lo peor que sucedió con dichos servicios.
En 2017, se
descubrió un problema en la extensión del navegador de otro servicio de conferencia: Cisco Webex. En ese caso, la vulnerabilidad permitió la ejecución de código arbitrario en el sistema. En 2016, el administrador de contraseñas de Trend Micro también encontró un problema en el servidor web
local , que también abrió la posibilidad de ejecución de código arbitrario. A fines del año pasado,
escribimos sobre un agujero en la utilidad de teclado y mouse de Logitech: incluso allí utilizamos un servidor web local, cuyo acceso era posible desde cualquier lugar.
Conclusión: esta es una práctica bastante común, aunque desde el punto de vista de la seguridad claramente no es la mejor: existen demasiados agujeros potenciales con dicho servidor web. Especialmente si se crea de manera predeterminada para interactuar con recursos externos (por ejemplo, un sitio que inicia una conferencia web). Especialmente si no se puede eliminar. La capacidad de restaurar rápidamente el cliente Zoom después de la desinstalación se realizó explícitamente para conveniencia de los usuarios o para conveniencia del desarrollador. Sin embargo, después de la publicación del estudio, esto trajo problemas adicionales. De acuerdo, los usuarios activos de Zoom recibieron una actualización y el problema se resolvió. ¿Y qué hacer con aquellos que alguna vez usaron el cliente Zoom y luego se detuvieron, pero el servidor web local todavía funciona para ellos? Al final resultó que, Apple lanzó en silencio una actualización que elimina el servidor web, incluso en este caso.
Debemos rendir homenaje al desarrollador del servicio Zoom: después de, por así decirlo, una reacción negativa del público, resolvieron el problema y ahora
comparten regularmente
actualizaciones con los usuarios. Claramente, esta no es una historia de éxito: aquí, el desarrollador también trató de ignorar cortésmente las sugerencias reales del investigador, y el investigador llamó a lo que no es del todo un "tirano". Pero al final todo terminó bien.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.