[ad_1]
Muchos de nosotros Ha estado allí: inicia la aplicación Zoom mientras se apresura a unirse a una reunión a la que ya llega tarde y se le solicita que descargue actualizaciones. Si esto le ha sucedido, ha iniciado sesión en la función de actualización automática de Zoom.
La función se implementó en su forma actual en noviembre de 2021 para las aplicaciones de escritorio de Windows y Mac de Zoom y está diseñada para ayudar a los usuarios a mantenerse al día con los parches de software. Ingresa la contraseña de su sistema cuando configura la función por primera vez y le da permiso a Zoom para instalar parches, luego nunca tendrá que volver a ingresarla. Fácil. Pero después de notar la función, el investigador de seguridad de Mac desde hace mucho tiempo, Patrick Wardle, se preguntó si no sería demasiado básico.
En la conferencia de seguridad DefCon en Las Vegas hoy, Wardle presentó dos vulnerabilidades que había encontrado en las comprobaciones de validación de la función de actualización automática para las actualizaciones. Para un atacante que ya tenía acceso a una Mac de destino, las vulnerabilidades podrían haberse encadenado y explotado para darle al atacante un control total sobre la computadora de la víctima. Zoom ya ha publicado correcciones para ambas vulnerabilidades, pero el viernes Wardle subió al escenario para anunciar el descubrimiento de otra vulnerabilidad, que aún no ha compartido con Zoom, que reabre el vector de ataque.
“Tenía curiosidad por saber exactamente cómo configuraron esto. Y cuando eché un vistazo, a primera vista parecía que estaban haciendo las cosas de manera segura: tenían las ideas correctas», dijo Wardle a WIRED antes de su charla. «Pero cuando miré más de cerca, la calidad del código era más sospechosa, y parecía que nadie lo estaba revisando lo suficiente».
Para instalar actualizaciones automáticamente después de que el usuario ingrese su contraseña una vez, Zoom instala una herramienta de ayuda estándar de macOS, que, según Wardle, se usa ampliamente en el desarrollo. La empresa configuró el mecanismo para que solo la aplicación Zoom pueda hablar con el ayudante. De esa manera, nadie más podría conectarse y jugar con las cosas. La función también se configuró para realizar una verificación de firma para confirmar la integridad de las actualizaciones proporcionadas, y verificó específicamente que el software fuera una nueva versión de Zoom, para que los piratas informáticos no pudieran lanzar un «ataque de degradación» engañando a la aplicación para que instalar una versión antigua y vulnerable de Zoom.
Sin embargo, la primera vulnerabilidad que encontró Wardle fue en la verificación de la firma criptográfica. (Es una especie de verificación de sello de cera para confirmar la integridad y la procedencia del software). Wardle sabía por investigaciones anteriores y su propio desarrollo de software que puede ser difícil validar verdaderamente las firmas en las condiciones establecidas por Zoom. Al final, se dio cuenta de que el cheque de Zoom podía ser superado. Imagínese firmar con cuidado un documento legal y luego colocar el papel boca abajo sobre una mesa junto a una tarjeta de cumpleaños que firmó, de manera bastante casual, para su hermana. La verificación de la firma de Zoom esencialmente analizó todo lo que había en la mesa y aceptó la firma aleatoria en la tarjeta de cumpleaños, en lugar de verificar que la firma estuviera en el lugar correcto en el documento correcto. En otras palabras, Wardle descubrió que podía cambiar el nombre del software que estaba tratando de filtrar para contener los marcadores que Zoom buscaba ampliamente y obtener el paquete malicioso a través de la verificación de firmas de Zoom.
[ad_2]