La herramienta «Marcación de guerra» expone los problemas de contraseña de Zoom – Krebs on Stability


A medida que la pandemia de Coronavirus continúa obligando a las personas a trabajar desde su casa, innumerables empresas ahora celebran reuniones diarias utilizando los servicios de videoconferencia de Enfocar. Pero sin la protección de una contraseña, existe una posibilidad decente de que su próxima reunión de Zoom pueda ser «bombardeada con Zoom», asistida o interrumpida por alguien que no pertenece. Y de acuerdo con los datos recopilados por una nueva herramienta automatizada de descubrimiento de reuniones Zoom denominada «zWarDial, «Un número loco de reuniones en las grandes corporaciones no está protegido por una contraseña.

zWarDial, una herramienta automatizada para encontrar reuniones de Zoom no protegidas con contraseña. Según sus creadores, zWarDial puede encontrar en promedio 110 reuniones por hora, y tiene una tasa de éxito de alrededor del 14 por ciento.

A cada llamada de conferencia Zoom se le asigna una ID de reunión que consta de 9 a 11 dígitos. Naturalmente, los hackers han descubierto que simplemente pueden adivinar o automatizar la adivinación de identificaciones aleatorias dentro de ese espacio de dígitos.

Expertos en seguridad en Test Level Study hizo exactamente eso el verano pasadoy descubrieron que podían predecir aproximadamente el cuatro por ciento de las ID de reunión generadas aleatoriamente. Los investigadores de Check Stage dijeron que habilitar las contraseñas en cada reunión era lo único que les impedía encontrar una reunión al azar.

Zoom respondió diciendo que estaba habilitando las contraseñas de forma predeterminada en todas las reuniones programadas futuras. Zoom también dijo que bloquearía los intentos repetidos de escanear en busca de ID de reunión, y que ya no indicaría automáticamente si una ID de reunión period válida o no.

Sin embargo, la incidencia de Zoombombing se ha disparado en las últimas semanas, incluso provocando una alerta por parte del FBI sobre cómo asegurar las reuniones contra espías y hacedores de travesuras. Esto sugiere que muchos usuarios de Zoom han deshabilitado las contraseñas de manera predeterminada y / o que la nueva función de seguridad de Zoom simplemente no funciona como está previsto para todos los usuarios.

Los nuevos datos y los reconocimientos de Zoom en sí sugieren que esto último puede ser más probable.

A principios de esta semana, KrebsOnSecurity escuchó de Trent Lo, un profesional de seguridad y fundador de SecKC, La reunión de seguridad mensual de mayor duración de Kansas Metropolis. Lo y otros miembros de SecKC recientemente creados zWarDial, que toma prestada parte de su nombre de los antiguos programas de marcación de guerra por teléfono que llamaba números aleatorios o secuenciales en un prefijo de número de teléfono dado para buscar módems de computadora.

Lo dijo que zWarDial evade los intentos de Zoom de bloquear los escaneos automáticos de reuniones al enrutar las búsquedas a través de múltiples servidores proxy en Colina, un software package gratuito y de código abierto que permite a los usuarios navegar por la Web de forma anónima.

«Zoom dijo recientemente que arreglaron esto, pero estoy usando una URL totalmente diferente y estoy pasando una cookie junto con esa URL», dijo Lo, describiendo parte de cómo funciona su herramienta en el back-conclude. «Esto me da la información de la sala (reunión de Zoom) sin tener que iniciar sesión».

Lo dijo que una sola instancia de zWarDial puede encontrar aproximadamente 100 reuniones por hora, pero que múltiples instancias de la herramienta que se ejecutan en paralelo probablemente podrían descubrir la mayoría de las reuniones abiertas de Zoom en un día determinado. Dijo que cada instancia tiene una tasa de éxito de aproximadamente el 14 por ciento, lo que significa que por cada número de reunión aleatorio que intente, el programa tiene una probabilidad del 14 por ciento de encontrar una reunión abierta.

ZWarDial no puede detectar las reuniones que están protegidas por una contraseña, dijo Lo.

«Tener una contraseña habilitada en la reunión es lo único que la derrota», dijo.

Lo compartió el resultado del escaneo zWarDial de un día, que reveló información sobre casi 2,400 reuniones de Zoom próximas o periódicas. Esa información incluía el enlace necesario para unirse a cada reunión la fecha y hora de la reunión el nombre del organizador de la reunión y cualquier información suministrada por el organizador de la reunión sobre el tema de la reunión.

Los resultados fueron asombrosos y revelaron detalles sobre las reuniones de Zoom programadas por algunas de las compañías más grandes del mundo, incluidos los principales bancos, firmas de consultoría internacionales, servicios de transporte, contratistas del gobierno y firmas de calificación de inversión.

KrebsOnSecurity no nombra a las compañías involucradas, pero pudo verificar docenas de ellas al hacer coincidir el nombre del organizador de la reunión con los perfiles corporativos en LinkedIn.

Con mucho, el grupo más grande de compañías que exponen sus reuniones de Zoom se encuentra en el sector de la tecnología e incluye varios proveedores de seguridad y tecnología en la nube. ¡Incluyen al menos una compañía de tecnología que ha sido llevada a las redes sociales para advertir a las personas sobre la necesidad de proteger con contraseña las reuniones de Zoom!

La distribución de las reuniones de Zoom encontradas por zWarDial, indexadas por industria. Como se muestra arriba, zWarDial encontró aproximadamente 2,400 reuniones expuestas en menos de 24 horas. Imagen: SecKC.

¿UN GREMLIN EN LOS PREDETERMINADOS?

Dada la preponderancia de las reuniones de Zoom expuestas por las compañías de seguridad y tecnología que aparentemente deberían saber mejor, KrebsOnSecurity le preguntó a Zoom si su enfoque de agregar contraseñas de forma predeterminada a todas las reuniones nuevas funcionaba realmente como estaba previsto.

En respuesta, Zoom dijo que estaba investigando la posibilidad de que su enfoque de contraseña por defecto pueda fallar bajo ciertas circunstancias.

«Zoom recomienda encarecidamente a los usuarios que implementen contraseñas para todas sus reuniones para garantizar que los usuarios no invitados no puedan unirse», dijo la compañía en una declaración escrita compartida con este autor.

«Las contraseñas para las nuevas reuniones se han habilitado de manera predeterminada desde fines del año pasado, a menos que los propietarios de las cuentas o los administradores se hayan excluido», continúa el comunicado. «Estamos estudiando casos límite únicos para determinar si, En determinadas circunstancias, los usuarios no afiliados con el propietario o administrador de una cuenta pueden no tener las contraseñas activadas de forma predeterminada en el momento en que se realizó el cambio.«

El reconocimiento llega en medio de una serie de tropiezos de seguridad y privacidad para Zoom, que ha visto crecer su foundation de usuarios exponencialmente en las últimas semanas. Zoom fundador y director ejecutivo Eric Yuan dijo en una reciente publicación de site que el número máximo de participantes de la reunión diaria, tanto pagados como gratuitos, ha crecido de alrededor de 10 millones en diciembre a 200 millones en marzo.

Ese rápido crecimiento también ha traído un escrutinio adicional de expertos en seguridad y privacidad, quienes han encontrado muchos problemas reales y potenciales con el servicio en los últimos tiempos. TechCrunch&#39s Zack Whittaker tiene un desglose bastante completo de ellos aquí no incluido en esa lista es una historia que rompió a principios de esta semana en un par de vulnerabilidades de día cero en Zoom que fueron detalladas públicamente por un ex experto de la NSA.

El CEO de Zoom, Yuan, reconoció que su compañía ha luchado para mantenerse al día con la creciente demanda de su servicio y con el escrutinio adicional que conlleva, y dijo en una publicación de website que durante los siguientes 90 días se estaba congelando todo el desarrollo de nuevas funciones, por lo que la compañía Los ingenieros podrían centrarse en cuestiones de seguridad.

Dave Kennedy, experto en seguridad y fundador de la consultora de seguridad TrustedSec, escribió un extenso hilo en Twitter diciendo que aunque Zoom ciertamente ha tenido su cuota de tonterías de seguridad y privacidad, algunos en la comunidad de seguridad están exacerbando innecesariamente una situación ya difícil para Zoom y sus decenas de millones de usuarios que confían en ella para el día a día -salas de día.

«Lo que tenemos aquí es una compañía que es relativamente fácil de usar para las masas (viene con sus desafíos en las identificaciones de reuniones personales) y es relativamente segura», dijo Kennedy. escribió. «Sin embargo, la industria está haciendo que sea» esto es malware «y no se puede usar esto. Esto es extremo Necesitamos observar el riesgo que representan las aplicaciones específicas y ayudar a expresar un mensaje de cómo las personas pueden aprovechar la tecnología y estar a salvo. Dejar días cero en los medios de comunicación perjudica nuestra credibilidad, sensacionaliza el miedo y perjudica a los demás «.

«Si hay formas para que una empresa mejore, debemos notificarles y si no solucionan sus problemas, deberíamos avisarlos», continuó. «No deberíamos poner miedo en todos y aprovechar los medios de comunicación como un método para crear ese miedo».

El consejo de Zoom para asegurar reuniones es aquí. Lo de SecKC dijo que las organizaciones que usan Zoom deberían evite publicar los enlaces de la reunión de Zoom en las redes sociales, y siempre se requiere una contraseña de reunión cuando sea posible.

«Esto debería estar habilitado por defecto como un nuevo cliente o un usuario de prueba», dijo. “Las organizaciones heredadas deberán verificar su configuración de administración para asegurarse de que esté habilitada. También puede habilitar «Incrustar contraseña en el enlace de la reunión para unirse con un clic». Esto evita que un actor acceda a su reunión sin perder la facilidad de uso de compartir un enlace para unirse «.

Además, los usuarios de Zoom pueden desactivar «Permitir a los participantes unirse a la reunión antes de que llegue el anfitrión».

«Si tiene que tener esta función habilitada, al menos habilite» notificar al anfitrión cuando los participantes se unan a la reunión antes que ellos «, aconsejó Lo. “Esto le notificará que alguien podría estar usando su reunión sin su conocimiento. Si debe mantener su reunión desprotegida, debe habilitar «Ocultar el número de teléfono en la lista de participantes». El uso de la función de lista de espera evitará que los participantes no deseados accedan a su reunión, pero aún expondrá los detalles de su reunión si se united states sin contraseña «.

Algunas de las configuraciones de seguridad disponibles para los usuarios de Zoom. Estos y otros se pueden encontrar en https://www.zoom.us/profile/settings/


Etiquetas: Dave Kennedy, Eric Yuan, SecKC, Techcrunch, Trent Lo, TrustedSec, Zack Whittaker, Zoom, zWarDial

Esta entrada fue publicada el jueves 2 de abril de 2020 a las 10:43 am y está archivada bajo A Little Sunshine, The Coming Storm, Time to Patch.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia original