por En la reciente conferencia de seguridad de Pwn2Own, los piratas informáticos éticos Daan Keuper y Thihs Alkemade de CompueTestSecurity expusieron varias vulnerabilidades de día cero dentro del cliente de escritorio Zoom. Estas vulnerabilidades podrían permitir a los piratas informáticos ejecutar código aleatorio en los dispositivos de los usuarios, provocando el caos.
Por su trabajo, Daan y Thijs recibieron 200.000 dólares de Zoom. Afirmaron que “mientras que las vulnerabilidades anteriores de Zoom permitían a los atacantes infiltrarse en las llamadas, su exploit era mucho más serio ya que les permite a los atacantes tomar el control de todo el sistema”. Los piratas informáticos éticos encadenaron tres vulnerabilidades diferentes en Zoom, creando un exploit.
Mucho más aterrador es que podrían tomar el control de los sistemas remotos que ejecutan el cliente Zoom sin el conocimiento del usuario. Esto significaba que el usuario no tenía que hacer clic en los enlaces ni abrir ningún archivo adjunto. Keuper y Alkemade tenían el control casi completo de la computadora de un usuario de forma remota, lo que demostraron activando las capacidades de la cámara web y el micrófono, leyendo los correos electrónicos de los usuarios y finalmente descargando el historial del navegador de la víctima.
Zoom, por su parte, dijo: “Nos tomamos la seguridad muy en serio y apreciamos mucho la investigación de Computest. Estamos trabajando para mitigar este problema con respecto a Zoom Chat, nuestro producto de mensajería grupal. El chat en sesión en Zoom Meetings y Zoom Video Webinars son no se ve afectado por el problema. El ataque también debe provenir de un contacto externo aceptado o ser parte de la misma cuenta corporativa que el objetivo. Como práctica recomendada, Zoom recomienda que todos los usuarios solo acepten solicitudes de contacto de personas que conocen y en las que confían. Si usted cree que ha encontrado un problema de seguridad con los productos Zoom, envíe un informe detallado a nuestro Programa de divulgación de vulnerabilidades en nuestro Centro de confianza “.
Zoom no fue el único cliente de videoconferencia vulnerable, ya que otro hacker ético reclamó $ 200,000 por exponer vulnerabilidades en Microsoft Teams. Este último se mostró muy agradecido, de ahí la gran suma de dinero que asignaron al hacker ético.
Con todo este dinero perdido, podría ser hora de aprender algunas habilidades de piratería informática que pueda usar éticamente para ayudar a pagar la matrícula universitaria de mi hijo.
