Pesé a lo que muchos pensarían de este difícil periodo, los hackers no están en cuarentena, por el contrario, siguen ” haciendo de las suyas” en este momento pese al #COVID19. Dada la coyuntura es muy común que muchas compañías, emprendedores y hasta los particulares usen Zoom para sus reuniones virtuales!
Tal como lo decía Samir hace poco en uno de sus artículos: “A la par con el crecimiento exponencial que ha tenido el uso de la herramienta en lo que va corrido del año, han crecido las denuncias de usuarios cuyas llamadas han sido interrumpidas por personas ajenas a la misma que han compartido contenido obsceno, vulgar, violento y hasta pornográfico”. Por lo mismo hay que hacer todo lo posible para bloquear el acceso de extraños a dichas reuniones
Pero las cosas no terminan ahí, recientemente los investigadores de BleepingComputer descubrió una vulnerabilidad en Zoom que le permite a los cibercriminales realizar ataques de tipo “Inyección UNC” para robar las credenciales de acceso a Windows. El problema está en la manera como se usan las UNC o, en lenguaje menos técnico, las Convenciones de Nombres Universales para manejar los links dentro del chat de la aplicación.
De tal forma que, en el momento que, mientras un desprevenido usuario de Windows le da clic a una “URL” o enlace compartido en el chat de la aplicación de Zoom, “tras bambalinas”, la aplicación está compartiendo las credenciales de acceso de Windows (nombre de usuario y NTLM password hash) de manera cifrada.
Para este punto del artículo es posible que muchos usuarios de Windows estén respirando con tranquilidad al leer la palabra “cifrada” pero, según muchos investigadores como Matthew Hickey (@HackerFantastic), con el poder de los PCs actuales y el programa correcto, descifrar esas contraseñas resulta bastante fácil (se puede hacer en cuestión de segundos).
Para complicar aún más las cosas, según esos mismo investigadores, es posible usar dicha vulnerabilidad para activar programas de manera remota en las máquinas de las víctimas cuando estas hace clic en un link del chat de Zoom.
¿Qué pueden hacer los usuarios de Windows que día a día tienen conferencias por Zoom?
Dada la situación descrita anteriormente, hay que estar pendiente de denegar el acceso a cualquier programa extraño que aparezca después de un clic en el chat de Zoom.
Ahora bien, mientras la gente de Zoom se pone “manos a la obra” para parchar dicha vulnerabilidad, lo mejor que pueden hacer los usuarios de Windows es realizar los ajustes del caso en: Configuración del Sistema – Opciones de Seguridad -> Políticas Locales -> Opciones de Seguridad -> Seguridad de Red: Restringir NTLM: Tráfico NTLM saliente a servidores remotos y configurado en “Denegar todo”.
Mensaje para las personas de TI, lo anterior podría llegar a afectar el acceso a los archivos compartidos, por lo mismo, hay que revisar bien los detalles de dichas políticas locales.
A nivel de usuarios de hogar, el ajuste puede ser realizado a través del Editor de Registro, con las credenciales de Administrador del Sistema al crear el valor del registro RestrictSendingNTLMTraffic en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 con la llave y el parámetro en 2 (tal como se ve en la siguiente imagen).
¿Más información al respecto de esta vulnerabilidad de Zoom sobre Windows?
Para mayor información es recomendable visitar el sitio de los investigadores de BleepingComputer.
Actualización posterior a la publicación de este artículo
Algunos expertos en seguridad, recomiendan no dar clic a los enlaces dentro del chat de Zoom mientras la plataforma no haya creado el correspondiente parche de seguridad.
La vulnerabilidad es bastante importante. Se descubrió hace poco y hay que darle tiempo a Zoom para que lo resuelvan. Por ahora sería importante que organizaciones eduquen a las personas a no hacer click en ningún enlace compartido por el chat de zoom. #concientizacion
— TacticalEdge (@Tactical3dge) April 1, 2020
Todo parece indicar que Zoom está reaccionando rápidamente!
Quería compartir esta noticia con @TECH_cetera @pipeliz_tech @MauricioJaramil https://t.co/X83zfzDWvD
— Edgar A. Rojas (@EdgarR0jas) April 2, 2020