Especialistas en ciberseguridad reportan el hallazgo de múltiples vulnerabilidades día cero en el cliente Zoom para equipos de escritorio cuya explotación exitosa permitiría a los hackers maliciosos ejecutar código arbitrario en el dispositivo objetivo.
El reporte fue presentado por el equipo de hacking ético integrado por Daan Keuepr y Thijs Alkemade durante el concurso de hacking Pwn2Own. Zoom les entregó una recompensa de 200 mil dólares a través de su programa de recompensas.
Pwn2Own es un importante evento de ciberseguridad en el que los hackers éticos demuestran la existencia de vulnerabilidades de día cero en dispositivos y aplicaciones populares. Debido al aumento en el uso de herramientas de comunicación remota, los organizadores de la conferencia agregaron la nueva categoría de Comunicaciones Empresariales.
Sobre su hallazgo, los investigadores mencionaron que, si bien algunas fallas en Zoom encontradas anteriormente permitían acceso arbitrario a algunas sesiones de videollamada, estas fallas permitirían a los actores de amenazas tomar control del sistema comprometido.
El ataque requiere encadenar la explotación de tres vulnerabilidades, aunque los expertos señalan que una vez que esto se consigue los hackers no requieren de la interacción de las víctimas potenciales para completar el ataque, en lo que se conoce como una vulnerabilidad de cero clics.
Si el ataque ha sido exitoso, los actores de amenazas pueden tomar control casi completo del sistema objetivo. En su demostración, los hackers éticos realizaron movimientos de manipulación remota en el sistema atacado, como encender cámara y micrófono, acceder a plataformas email y robar información privada como el historial de navegación del dispositivo.
Créditos: Alisa Esage