Tras conocerse el error de privacidad del iPhone en Zoom, una investigación de seguridad ha descubierto ahora que los atacantes pueden usar la función de chat grupal del cliente Zoom de Windows para mostrar enlaces que dejan al descubierto las credenciales de la red de Windows de cualquiera que haga clic en ellos.
La aplicación de videoconferencia es, en muchos sentidos, víctima de su propio éxito. Se han planteado preocupaciones de seguridad sobre ella en el pasado, después de que los investigadores revelaran un fallo zero-day en el cliente Mac Zoom que podría haber permitido a los hackers espiar a los usuarios a través de sus cámaras web. Más tarde, en el mismo año, investigaciones separadas revelaron un ataque de enumeración dirigido a la API que afectaba a la plataforma. No se cree que ninguno de ellos haya sido sobreexplotado.
De esta manera, el llamado ‘Zoombombing’ se ha hecho muy popular. Este se da a menudo cuando se llevan a cabo eventos semipúblicos a gran escala y las identificaciones (ID) de las reuniones se comparten en las redes sociales. Si no hay una contraseña para la reunión y no se examina a los asistentes, pueden aparecer los zoombombers. Una vez en la reunión, los intrusos suelen publicar comentarios ofensivos, transmitir contenido para adultos o hacer otras cosas para perturbar el evento.
La última amenaza es de ataques de phishing. Los hackers saben que los usuarios buscan en masa maneras de comunicarse durante los confinamientos dictados por los gobiernos. Al crear enlaces y sitios web de Zoom de aspecto legítimo, podrían robar detalles financieros, propagar malware o recoger números de ID de Zoom, lo que les permitiría infiltrarse en reuniones virtuales. El proveedor BrandShield descubrió que se habían registrado 2.000 nuevos dominios solo en marzo, más de dos tercios del total del año hasta ahora.
Shay Nahari, Jefe de Red Team Services de CyberArk, explica: “La vulnerabilidad que permitiría a los atacantes utilizar la función de chat de grupo de clientes de Zoom para Windows con el objetivo de obtener las credenciales de red de Windows es un comportamiento conocido de Windows que tiene que ver con la respuesta al desafío NTLM. Esto está relacionado con la forma en que Windows maneja el antiguo protocolo de autenticación NTLM (antes Kerberos). Debido a que Zoom se basa en la interfaz RichEdit de Microsoft para manejar rutas UNC en nombre del cliente Zoom, permite a los atacantes aprovecharse de aplicaciones comunes y lanzar ataques más potentes en las redes corporativas”.
Según David Higgins, Director Técnico de CyberArk, “es importante conocer el peligro de hacer clic en enlaces o trabajar con Wifi insegura, además de implementar tecnologías como la administración de acceso privilegiado, que limita el daño si éste se produce, para ayudar a proteger los datos y los sistemas críticos de atacantes intentando aprovechar las nuevas circunstancias del trabajo remoto”.
Recomendaciones de Trend Micro
- Asegurarse de que Zoom siempre esté en la última versión del software
- Concienciar sobre las estafas de phishing de Zoom en los programas de capacitación de usuarios. Los usuarios solo deben descargar el cliente Zoom de un sitio de confianza y verificar si hay algo sospechoso en la URL de la reunión al unirse a una reunión
- Asegurarse de que todos los teletrabajadores tengan un programa antimalware, incluida la detección de phishing instalada de un proveedor de confianza
- Asegurarse de que también se genera un ID de reunión automáticamente para las reuniones recurrentes
- Configurar la pantalla compartida como ‘solo host’ para evitar que los asistentes no invitados compartan contenido perjudicial
- No comparta ninguna ID de la reunión online
- Desactivar las “transferencias de archivos” para mitigar el riesgo de malware
- Asegurarse de que solo los usuarios autenticados puedan participar en las reuniones
- Bloquear la reunión una vez que haya empezado para evitar que alguien se una a ella.
- Utilizar la función de sala de espera, así el anfitrión o host solo puede permitir asistentes de un registro preasignado
- Reproduzca un sonido cuando alguien entre o salga de la reunión
- Permitir que el anfitrión ponga a los asistentes en espera, eliminándolos temporalmente de una reunión si es necesario
