Vulnerabilidad en ZOOM permite hackear Windows de forma fácil

Los investigadores de ciberseguridad  han encontrado una vulnerabilidad crítica de día cero en la aplicación de videoconferencia Zoom. Esta vulnerabilidad se encontró en el cliente de Windows del Zoom. Esta vulnerabilidad permite la ejecución limitada de código remoto RCE, lo que puede permitir la filtración de información de red. La aplicación tiene vulnerabilidad en el manejo de las rutas del Identificador uniforme de recursos(UNI), lo que puede resultar en la inyección de Universal Naming Convention (UNC) .

El investigador llamado Matthew Hickey encontró esta vulnerabilidad. Se informó que la vulnerabilidad hizo zoom.

Cualquiera puede agregar enlaces maliciosos al chat para exponer el nombre de la computadora o el dominio o la contraseña hash de Windows. Estos enlaces pueden tener Microsoft Excel, que puede ejecutar el código malicioso cuando se abre. Una vez que alguien tiene su contraseña hash, no es muy difícil hackear la red u otro servidor. Esto también permite crear backdoor o ejecutar malware en el dispositivo de destino.

El investigador mostró una prueba de concepto mediante la ejecución de la aplicación de calculadora incorporada enviando un enlace: 

\\127.0.0.1\C$\Windows\System32\Calc.exe

Si envía este enlace a alguien en el chat de zoom y si hace clic, se abrirá la calculadora. Windows podría mostrar alerta en este caso, pero la mayoría de los ataques avanzados que podrían no ser el caso

La falla afecta solo al cliente de Windows de Zoom. En macOS de Apple, no funciona el ataque. Pero en la aplicación de iOS, la aplicación compartió toda la información personal del usuario con Facebook

Otros investigadores han descubierto que la función del Directorio de la empresa de Zoom filtra las direcciones de correo electrónico y las fotos, y que la aplicación de videoconferencia no utiliza cifrado de extremo a extremo para proteger las llamadas de la intercepción.

Share
Avatar

Pablo J.

Desarrollador gráfico y web, con ganas de trabajar y aprender todo lo posible de este campo tan variado. Trato de ser creativo en la vida laboral como personal. Amante de la buena lectura, el cine con sentido e inteligente.

You may also like...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *