Descubren dos nuevas vulnerabilidades críticas en Zoom

Se conoció el hallazgo de dos nuevas vulnerabilidades críticas en la herramienta para realizar videoconferencias Zoom que permitiría a un atacante comprometer el equipo de la víctima enviando mensajes especialmente diseñados a través del chat de la plataforma.

Descubiertas por el equipo de Cisco Talos, ambas fallas, CVE-2020-6109 y CVE-2020-6110, son vulnerabilidades de recorrido de ruta que pueden explotarse para escribir o plantar archivos arbitrarios en los sistemas que ejecutan versiones vulnerables del software de videoconferencia para ejecutar así código malicioso.

Según los investigadores, la explotación exitosa de ambos defectos requiere poca o ninguna interacción por parte de los participantes del chat y puede ejecutarse simplemente enviando mensajes especialmente diseñados a través de la función de chat a un individuo o grupo.

Las vulnerabilidades

La primera vulnerabilidad de seguridad, CVE-2020-6109, se configuraba en la forma en que Zoom aprovecha el servicio GIPHY, para permitir a sus usuarios buscar e intercambiar GIF animados mientras chatean.

De acuerdo con los investigadores, la aplicación Zoom no verificaba si un GIF compartido se estaba cargando desde el servicio Giphy o no, lo que permitía que un atacante incrustará GIF desde un servidor controlado.

Por lo demás, la aplicación tampoco desinfectaba los nombres de los archivos, por lo que se permitía un recorrido del directorio, engañando a la aplicación para que guardará archivos maliciosos disfrazados como GIF en cualquier ubicación del sistema de la víctima, por ejemplo, la carpeta de inicio.

La segunda vulnerabilidad de ejecución remota del código, CVE-2020-6110, residía en la forma en que las versiones vulnerables de los fragmentos de código de proceso de la aplicación Zoom se compartían a través del chat.

La funcionalidad de chat de Zoom está construida sobre el estándar XMPP con extensiones adicionales. Una de esas extensiones admite una función que incluye fragmentos de código fuente que tienen soporte para resaltar la sintaxis completa. La función para enviar fragmentos de código requiere la instalación de un complemento adicional, situación que no ocurre de manera inversa.

Esta característica se implementa como una extensión del soporte para compartir archivos. Con esto se crea un archivo zip del fragmento de código que puede ser compartido antes de enviarlo y luego se descomprime automáticamente en el sistema del destinatario.