Damián Digital

El nuevo hack de Zoom permite a los hackers comprometer Windows y su contraseña de acceso

Zoom ha estado ahí durante nueve años, pero la necesidad inmediata de una aplicación de videoconferencia fácil de usar durante la pandemia de Coronavirus de la noche a la mañana la convirtió en una de las herramientas de comunicación más favoritas de millones de personas en todo el mundo.

Sin duda, Zoom es una eficiente solución de videoconferencia en línea que está ayudando a la gente a mantenerse conectada socialmente durante estos tiempos sin precedentes, pero aún así no es la mejor opción para todos, especialmente para aquellos que realmente se preocupan por su privacidad y seguridad.

Según el experto en seguridad cibernética @_g0dmode, el software de videoconferencia de Zoom para Windows es vulnerable a una vulnerabilidad clásica de «inyección de ruta UNC» que podría permitir a los atacantes remotos robar las credenciales de inicio de sesión de Windows de las víctimas e incluso ejecutar comandos arbitrarios en sus sistemas.

Estos ataques son posibles porque Zoom para Windows soporta rutas UNC remotas que convierten las URIs potencialmente inseguras en hipervínculos cuando se reciben a través de mensajes de chat a un destinatario en un chat personal o de grupo.

Hackear Zoom para robar contraseñas de Windows de forma remota

Confirmado por el investigador Matthew Hickey y demostrado por Mohamed Baset, el primer escenario de ataque involucra la técnica SMBRelay que explota el hecho de que Windows expone automáticamente el nombre de usuario y la contraseña NTLM de un usuario a un servidor SMB remoto cuando intenta conectarse y descargar un archivo alojado en él.

Para robar las credenciales de acceso a Windows de un usuario objetivo, todo lo que un atacante necesita hacer es enviar una URL elaborada (es decir, un archivo \x.x.x.x\abc_) a una víctima a través de una interfaz de chat.

LEER  Casi el 95% de los sistemas SAP son vulnerables a los hackers

Una vez que se hace clic en él, el ataque permitiría que el recurso compartido de la PYME controlado por el atacante captara automáticamente los datos de autenticación de Windows, sin el conocimiento del usuario objetivo.

Hay que señalar que las contraseñas capturadas no son de texto plano; en su lugar, NTLM las descifra, pero una débil puede ser descifrada fácilmente en segundos usando herramientas de descifrado de contraseñas como HashCat o John el Destripador.

En un entorno compartido, como el de una oficina, las credenciales de acceso a Windows robadas pueden ser reutilizadas inmediatamente para comprometer a otros usuarios o recursos informáticos, y lanzar nuevos ataques.

Aprovechar Zoom para comprometer los sistemas Windows de forma remota

Además de robar las credenciales de Windows, la falla también puede ser explotada para lanzar cualquier programa ya presente en un ordenador objetivo o ejecutar comandos arbitrarios para comprometerlo remotamente, confirmado por el investigador de seguridad de Google, Tavis Ormandy.

zoom hacking software

Como se muestra, Ormandy demostró cómo el fallo de inyección de la ruta UNC en Zoom también puede ser explotado para ejecutar un guión por lotes -sin un aviso- que contiene comandos maliciosos cuando se llama desde el directorio de descargas predeterminado de Windows.

El segundo escenario de ataque se basa en el hecho de que los navegadores que se ejecutan en el sistema operativo Windows guardan automáticamente las descargas en una carpeta por defecto, lo cual puede ser abusado para engañar primero al usuario para que descargue el script por lotes y luego activarlo usando el fallo de zoom.

LEER  Los señuelos con temática de COVID apuntan a los sectores de SCADA con malware de robo de datos

Cabe señalar que para explotar este problema, un atacante debe conocer el nombre de usuario de Windows del usuario objetivo, que, sin embargo, puede obtenerse fácilmente mediante el primer ataque de SMBRelay.

Además, otro investigador de seguridad que se hace llamar «pwnsdx» en Twitter compartió otro truco que podría permitir a los atacantes ocultar los enlaces maliciosos cuando se muestran en el extremo de los destinatarios, lo que podría hacer que se vea más convincente y práctico.

¿Qué deberían hacer los usuarios de Zoom?

Zoom ya ha sido notificado de este fallo, pero como el defecto aún no ha sido corregido, se aconseja a los usuarios que utilicen un software de videoconferencia alternativo o que utilicen Zoom en sus navegadores web en lugar de instalar una aplicación cliente dedicada en sus sistemas.

(Actualización: Un día después de que publicamos este informe, Zoom se disculpa por no cumplir con las expectativas de privacidad y seguridad y publicó una versión actualizada si el software para parchear informó recientemente de múltiples problemas de seguridad, incluyendo la inyección de ruta UNC).

Algunos de los mejores programas alternativos de videoconferencia y chat son:

windows security settings

Además de usar una contraseña fuerte, los usuarios de Windows también pueden cambiar la configuración de la política de seguridad para restringir que el sistema operativo pase automáticamente sus credenciales NTML a un servidor SMB remoto.

Más incidentes de seguridad y privacidad relacionados con el zoom

Este no es el único asunto que se ha descubierto en el software de videoconferencia de Zoom en los últimos dos días, lo que ha suscitado preocupaciones de privacidad y seguridad entre millones de usuarios.

LEER  Los usuarios de criptomonedas de iPhone corren el riesgo de sufrir múltiples ataques de vulnerabilidad en la aplicación iOS Mail

El FBI está advirtiendo a los usuarios de Zoom del ataque «Zoom-Bombas» después de que algunas personas encuentran una manera de colarse en reuniones y encuentros en línea desprevenidos y los bombardearon con imágenes pornográficas o comentarios racistas.

Ayer mismo, otro informe confirmó que Zoom no utiliza una encriptación de extremo a extremo para proteger los datos de llamadas de sus usuarios de miradas indiscretas, a pesar de decir a los usuarios que «Zoom está utilizando una conexión encriptada de extremo a extremo».

La semana pasada, Zoom actualizó su aplicación iOS después de ser sorprendido compartiendo la información del dispositivo de los usuarios con Facebook, lo que generó preocupaciones legítimas sobre la privacidad de los usuarios.

A principios de este año, Zoom también corrigió otro error de privacidad en su software que podría haber permitido que personas no invitadas se unieran a reuniones privadas y escuchar a distancia audio, vídeo y documentos privados compartidos durante la sesión.

Fuente: https://thehackernews.com/

3 thoughts on “El nuevo hack de Zoom permite a los hackers comprometer Windows y su contraseña de acceso

  1. Wow! muy interesante Damián!!
    Gracias por compartir esta información, importante para considerar por la seguridad de nuestros equipos.

    Saludos.-

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: