A los problemas de seguridad que se han conocido en Zoom durante las últimas semanas se suma la novedad de que están siendo comercializados en el mercado dos exploits para vulnerabilidades críticas en este software de videoconferencias.
ESET Latinoamérica, explica que las vulnerabilidades de Zoom que aprovechan estos exploits están presentes en el cliente para Windows y en el de MacOS, y permitirían a un atacante comprometer los dispositivos de los usuarios y espiar las llamadas que realizan a través de la herramienta.
El sitio Motherboard explicó que tres fuentes conocedoras de estos mercados confirmaron la comercialización de estos dos exploits. Si bien no se conocen los detalles de los códigos maliciosos que aprovechan estos fallos, las distintas fuentes fueron contactadas por intermediarios que se los han ofrecido.
Un exploit no es un malware, sino un código que permite aprovechar el fallo para que el atacante pueda acceder a un sistema y proporcionar los permisos necesarios para luego infectarlo.
Los exploits zero-days son códigos que explotan vulnerabilidades desconocidas; es decir, que no han sido reportadas previamente al público, lo que significa que no hay un parche o actualización disponible que repare el fallo de seguridad y por eso suponen una grave amenaza.
Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Los exploits para una vulnerabilidad zero-day suelen ser comercializados en el mercado negro por grandes sumas de dinero, dependiendo del software al que afectan. En el caso de Zoom, y la gran popularidad que ha tenido como consecuencia de la pandemia del coronavirus (COVID-19), despertó el interés de los cibercriminales, quienes pusieron su atención en este software con la esperanza de descubrir vulnerabilidades para luego venderlas en la dark web y foros de hacking, explicó Vice.
En el caso del exploit zero-day para el cliente de Zoom en Windows, el mismo aprovecha una vulnerabilidad que permite la ejecución remota de código en la computadora de la víctima. Estos exploits son de gran valor, ya que permiten a un atacante comprometer el dispositivo apuntado sin necesidad de recurrir a correos de phishing en los que se necesita que la víctima cometa un error y descargue un archivo o haga clic en un enlace. Según confirmó una de las fuentes, el exploit para Windows se está ofreciendo a más de USD500.000.
En el caso de la zero-day para el cliente Zoom en MacOS, no se trata de un exploit de ejecución remota de código y es más difícil de utilizar, lo que lo hace menos severo.
También se conoció que cibercriminales están vendiendo en la dark web y foros clandestinos cuentas de Zoom por muy poco dinero y en algunos casos las están ofreciendo incluso de manera gratuita. Las formas en las que obtienen estas credenciales es mediante ataques de credential stuffing, el cual consiste en la utilización de combinaciones de nombres de usuario y contraseñas que fueron filtradas en distintas brechas de seguridad y que permite a los atacantes armar un listado de aquellas combinaciones que funcionan para luego venderlas a otros cibercriminales para realizar otros ataques.
Desde ESET apostamos a la educación y la concientización como herramientas fundamentales de protección, ya que al conocer los riesgos es más fácil prevenirlos. Mantener actualizados los sistemas, contar con una solución de seguridad confiable, utilizar doble factor de verificación en las contraseñas nos permiten disfrutar de Internet de manera segura.
Gutiérrez