El conocido servicio de videoconferencia Zoom ha resuelto hasta cuatro vulnerabilidades de seguridad, que podrían ser explotadas para comprometer a otro usuario a través del chat mediante el envío de mensajes del Protocolo Extensible de Mensajería y Presencia (XMPP) especialmente diseñados y ejecutar código malicioso.
Los problemas, que van desde el CVE-2022-22784 hasta el CVE-2022-22787, oscilan entre el 5,9 y el 8,1 de gravedad. Ivan Fratric, de Google Project Zero, ha sido el encargado de descubrir y notificar los cuatro fallos en febrero de 2022.
La lista de fallos es la siguiente
CVE-2022-22784 (puntuación CVSS: 8,1) - Análisis XML inadecuado en el cliente de Zoom para reuniones
CVE-2022-22785 (puntuación CVSS: 5,9) - Restricción inadecuada de las cookies de sesión en Zoom Client for Meetings
CVE-2022-22786 (puntuación CVSS: 7,5) - Descenso de paquetes de actualización en Zoom Client for Meetings para Windows
CVE-2022-22787 (puntuación CVSS: 5,9) - Validación insuficiente del nombre de host durante el cambio de servidor en Zoom Client for Meetings
Con la funcionalidad del chat de Zoom construida sobre el estándar XMPP, la explotación exitosa de los problemas podría permitir a un atacante forzar a un cliente vulnerable a hacerse pasar por un usuario de Zoom, conectarse a un servidor malicioso e incluso descargar una actualización falsa, lo que resulta en la ejecución de código arbitrario derivado de un ataque de downgrade.
Fratric calificó la secuencia de ataque de cero clic como un caso de "Contrabando de Estancias XMPP", añadiendo que, "un usuario podría ser capaz de falsificar mensajes como si vinieran de otro usuario" y que "un atacante puede enviar mensajes de control que serán aceptados como si vinieran del servidor".
En esencia, los problemas se aprovechan de las incoherencias de análisis entre los analizadores XML del cliente y el servidor de Zoom para "pasar de contrabando" estrofas arbitrarias de XMPP (una unidad básica de comunicación) En concreto, la cadena de exploits puede ser utilizada como arma para secuestrar el mecanismo de actualización del software y hacer que el cliente se conecte a un servidor "man-in-the-middle" que sirva una versión antigua y menos segura del cliente de Zoom.
Mientras que el ataque de actualización se centra en la versión de Windows de la aplicación, CVE-2022-22784, CVE-2022-22785 y CVE-2022-22787 afectan a Android, iOS, Linux, macOS y Windows.
Los parches llegan menos de un mes después de que Zoom solucionara dos fallos de alta gravedad (CVE-2022-22782 y CVE-2022-22783) que podían dar lugar a una escalada de privilegios local y a la exposición del contenido de la memoria en sus servicios de reunión locales. También se ha corregido otro caso de ataque de degradación (CVE-2022-22781) en la aplicación de Zoom para macOS.
Zoom recomienda a los usuarios de la aplicación que actualicen a la última versión (5.10.0) para mitigar cualquier posible amenaza derivada de la explotación activa de los fallos.
No es la primera vez que Zoom es vulnerado, ya que, el último fallo se dio a conocer el año pasado, donde descubrieron que los hackers podían visualizar con quien hablaban los usuarios, algo que alarmó a muchos, debido que grandes y pequeñas empresas utilizaban la plataforma para reuniones generales y otras confidenciales, como una de las principales formar de comunicación a raíz de la pandemia. Esto ocasionó que muchos usuarios migraran a otras plataformas “más seguras” para ejecutar sus reuniones.