La falla potencialmente expone hasta 750.000 compañías en todo el mundo que usan Zoom para llevar a cabo sus actividades diarias. Esta vulnerabilidad también afecta a Ringcentral porque utiliza el mismo sistema de Zoom.

Esta vulnerabilidad aprovecha la función de Zoom increíblemente simple, donde puede enviar a cualquiera un enlace de reunión (por ejemplo, https://zoom.us/j/4924687XX) y cuando abren ese enlace en el navegador, su cliente de Zoom se abre «mágicamente».

El investigador Jonathan Leitschuh ha reportado dos vulnerabilidades relacionadas:

  • DOS Vulnerability — Fixed in Client version 4.4.2 — CVE-2019–13449
  • Information Disclosure (Webcam) — Unpatched —CVE-2019–13450

Esta vulnerabilidad se reveló originalmente de manera responsable el 26 de marzo de 2019. El informe inicial incluía una descripción propuesta de una «solución rápida» que Zoom podría haber implementado simplemente cambiando la lógica de su servidor. Le tomó a Zoom 10 días para confirmar la vulnerabilidad. La primera reunión real sobre cómo se repararía la vulnerabilidad se produjo el 11 de junio de 2019, solo 18 días antes del final de la fecha límite de divulgación pública de 90 días.

Zoom falló en la rápida confirmación de que la vulnerabilidad informada existía realmente y falló en tener una solución al problema entregado a los clientes de manera oportuna. Una organización de este perfil y con una base de usuarios tan grande debería haber sido más proactiva para proteger a sus usuarios del ataque. Por eso, 90 días después del primer informe, el invetigador publicó los detalles, una PoC y el código fuente.

El investigador además informa que si alguna vez se instaló el cliente de Zoom y luego se desinstaló, aún tiene un servidor web en localhost y no se requiere ninguna interacción del usuario para realizar el ataque.

Fuente: Jonathan Leitschuh

Compartir