El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, ha emitido un comunicado para alertar sobre la vulnerabilidad de la aplicación de videollamadas 'Zoom', muy utilizada durante el confinamiento por la crisis del coronavirus.
Los servicios informáticos de CCN han detectado que el fallo está las rutas UNC y que dicho problema podría permitir a un atacante engañar a una posible víctima.
La aplicación cuenta con una función de chat que permite convertir las rutas UNC de red de Windows en hipervínculos para que otros miembros puedan hacer clic en ellas y, así, compartir archivos de forma remota.
Si un usuario intenta acceder a un enlace de ruta UNC, Windows intentará conectarse al sitio remoto utilizando el protocolo SMB, "el problema reside en que, cuando Windows lo lleva a cabo, envía, a su vez, el nombre de inicio de sesión del usuario y su hash de contraseña NTLM", según ha explicado el cuerpo de seguridad.
De esta manera, un atacante puede obtener las credenciales de un usuario y engañarlo para que haga clic en un hipervínculo dañino. Estas credenciales pueden ser descifradas si el usuario utiliza una contraseña débil con herramientras como HashCat o John de Ripper.
Además, el CCN también ha advertido de que la aplicación no emplea cifrado de extremo a extremo, por lo que "es posible que el atacante aproveche la creación de hipervínculos para ejecuta archivos locales en el sistema de la víctima".
En cualquier caso el CCN advierte de que la vulnerabilidad detectada aún no se encuentra registrada en la base de datos del NIST, por lo que no cuenta con puntuación en la escala CVSSv3, aunque "podría ser calificada como alta".
Zoom anuncia mejorías en su seguridad
A tenor del anuncio, la aplicación ha añadido nuevas funciones de seguridad para evitar la entrada de intrusos en sus reuniones virtuales, un fenómeno conocido como 'zoombombing'."Zoom tiene aún trabajo importante por hacer en la seguridad de su aplicación, el diseño criptográfico y la infraestructura de seguridad", ha reconocido Stamos a través de su página en Medium.
Asimismo, Zoom ha anunciado una serie de medidas para mejorar su seguridad, encabezadas por la introducción de un nuevo icono que reúne todas las herramientas de seguridad del servicio para los organizadores de las reuniones.
Entre las funciones para administradores se encuentran la posibilidad de cerrar la llamada, crear una sala de espera y eliminar participantes o su posibilidad de compartir la pantalla o chatear, como ha informado la compañía en un comunicado.
La aplicación de videollamadas ha dejado también de mostrar el identificador de las llamadas en el título de las mismas. Esta medida evita que otras personas puedan averiguar estos identificadores, por ejemplo, mediante la publicación de capturas, así como la entrada de intrusos en las llamadas.
Además, Zoom ha activado por defecto la función de sala de espera y las contraseñas para las llamadas tanto en las cuentas gratuitas como de pago, y ha eliminado también la posibilidad de mostrar y añadir usuarios del mismo dominio.
Los organizadores de una llamada ahora pueden también desactivar la opción de que los participantes puedan cambiar su nombre durante la llamada.