Una vulnerabilidad crítica con el cliente Zoom para Windows permite a los atacantes robar las credenciales de inicio de sesión de Windows.

Zoom es una plataforma de comunicación de video en línea que tiene características como videoconferencia, reuniones en línea, chat y colaboración móvil.  Y actualmente está siendo bastante usado debido al Home Office al que muchas empresas están aplicando.

Vulnerabilidad de zoom

El cliente de Zoom para Windows admite la Convención de Nomenclatura Universal (UNC), que es la función que convierte las URL enviadas en el chat en hipervínculos.

Entonces, si el usuario hace clic en el enlace, se abrirá con el navegador predeterminado, pero el problema reside en cómo el Zoom maneja las URL. El usuario al hacer click en la URL compartida por Zoom, la cual puede ser: “\\hacker.dominio.com\documentos\fotos.jpg”, automáticamente abrirá su navegador para acceder a una ruta compartida de Windows, y en ese instante estaría enviando sus datos de sesión de Windows (usuario y contraseña).

El atacante que ha recopilado estos datos, posteriormente podría enviar ataques dirigidos para el control de la PC.

Además de esta vulnerabilidad, existe otra para sistemas MacOS, en la que el atacante podría inyectar código en el ejecutable de Zoom, específicamente en los controladores de cámara y micrófono; y escalar privilegios para controlar el sistema del usuario

Alternativa de Solución Temporal

En la siguiente llave Regedit de su PC

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

Crear el siguiente DWORD: RestrictSendingNTLMTraffic   con el valor Hexadecimal:  2

Puntos objetivos de la amenaza

  • Todos los usuarios que utilizan la aplicación Zoom sobre sistemas Windows o MacOS
  • Sobre todo aquellos que en estos tiempos están empleando la modalidad de trabajo Home Office

Nuestras recomendaciones

  • A todos los usuarios que usan Zoom, tener mucha precaución con las URL que son enviados vía a través del Chat, sobretodo con aquellos que tengan la siguiente apariencia de barra invertida como: \\algo.dominio.com
  • En caso anteriormente hayan ingresado a alguna URL similar, se recomienda cambiar sus credenciales de usuario y reportarlo a su área de soporte técnico
  • Al equipo de Tecnología, se recomienda difundir esta alerta a los usuarios de su compañía
  • Además, de acuerdo a sus recursos tecnológicos, realizar un despliegue factible para aplicar la alternativa de solución temporal para sus usuarios
  • Y asegurarse siempre que a nivel de firewall no existan accesos permitidos desde la red interna hacia internet por protocolo SMB (TCP 445)

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .