Cabecera-v2-web.jpg

Vulnerabilidad en Zoom permitiría a un atacante remoto obtener las credenciales de acceso de Windows


Recientemente se ha lanzado una actualización de seguridad el cual aborda una falla en el cliente de Zoom para Windows, concretamente una vulnerabilidad de inyección de ruta UNC en la funcionalidad de chat.

Zoom por defecto convierte todas las URLs que son compartidas en el chat en hipervínculos para que de esta manera los participantes de la reunión puedan hacer clic en él e ir directamente a la página web indicada en la URL. Pero además de esto, Zoom también convierte las rutas UNC de red de Windows para acceder a un recurso remoto desde el chat, con lo que al hacer clic sobre él se intentará una conexión a través del protocolo SMB.

Un atacante remoto podría aprovechar esta situación, enviar a través del chat una URL especialmente diseñada y convencer a la víctima que haga clic en el mismo.

Cuando esto ocurre Windows intentará conectarse al sitio remoto utilizando el protocolo SMB, que de forma predeterminada enviará el nombre de inicio de sesión del usuario y el hash de contraseña NTLM, el cual puede ser capturado por el atacante.

Si bien esta contraseña no es capturada en texto plano, puede utilizarse herramientas como john the ripper o hashcat para intentar descifrar la contraseña, si la misma es una contraseña débil, sólo tomará un par de segundos descifrarla. En cambio en un ambiente corporativo, el nombre de usuario y el hash puede ser utilizado para acceder a otros equipos y obtener otros vectores de ataque.

Además, un atacante remoto podría ejecutar cualquier software que se encuentre en el equipo o realizar la descargar de código malicioso en el mismo.

Un ejemplo de explotación de esta vulnerabilidad lo puede ver en el siguiente enlace.

Por otro lado, no es el único fallo de seguridad o privacidad que se ha descubierto en Zoom, existen varios reportes los cuales mencionan que otros usuarios ajenos a una reunión han logrado "piratear" la reunión, acceder a la misma y exhibir imágenes pornográficas o racistas en las pantallas durante las reuniones, por lo que se solicita extremar las precauciones con el fin realizar una reunión segura.

Recomendaciones:

  • Actualizar Zoom a su versión más reciente, en este caso 4.6.9 (19253.0401).
  • En caso de no ser posible la actualización como medida alternativa de mitigación, se recomienda utilizar Zoom en la versión del navegador ya que el mismo no presenta fallos de seguridad, o en todo caso utilizar un software de videoconferencia alternativo, o
  • Para equipos pertenecientes a un dominio, cambiar la configuración de la política de seguridad para restringir que el sistema operativo pase automáticamente sus credenciales NTML a un servidor remoto, para ello diríjase a:
    • Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad > Red de seguridad: Restringir NTLM: NTLM tráfico saliente a servidores remotos.
    • y configure la política en deny all.

  • Para equipos personales, cambiar la política desde el editor de registro de Windows, para ello:
    • Inicie el editor del registro como administrador.
    • Cree el valor RestrictSendingNTLMTraffic en la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0. y
    • asigne número 2 en el campo de Value Data.
    Para ver un vídeo explicativo de la configuración del registro, puede dirigirse al siguiente enlace.


  • Para realizar una reunión segura, se recomienda que siga las siguientes indicaciones:
    • No haga pública las reuniones o aulas, Zoom cuenta con la opción de hacer que una reunión sea privada o de ingresar una contraseña para unirse a la misma.

    • No comparta el enlace a una reunión a través de las redes sociales. Es más seguro enviar el enlace directamente a las personas con quien se acuerde la reunión.

    • Cambie el uso compartido de la pantalla a "Solo host".

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11