Zoom se une a Microsoft Teams en la lista de empresas …



El evento de piratería de sombrero blanco muestra una vez más por qué no existe la seguridad infalible contra los ataques modernos.

Un par de investigadores de seguridad en el concurso de piratería virtual Pwn2Possess el miércoles explotó una combinación de tres errores individuales de día cero en el cliente Zoom para mostrar cómo los atacantes podrían obtener el handle remoto completo de cualquier Laptop o computadora portátil en la que esté instalado el software de comunicaciones por video clip.

El exploit se produjo apenas un día después de que otro investigador de Pwn2Have demostrara la ejecución de código en Microsoft Teams, que, como Zoom, ha experimentado un aumento en el uso desde que la pandemia worldwide de COVID-19 forzó un aumento del trabajo remoto en muchas organizaciones. Los dos exploits, y varios otros contra Microsoft Trade Server, Home windows 10 y otras tecnologías, han servido como un recordatorio adicional de cuán vulnerables son algunos productos de program y comunicaciones empresariales centrales a los ataques modernos.

«Una de las tendencias más importantes que vemos es que los participantes continúan evolucionando y adaptándose a los objetivos», dice Brian Gorenc, director senior de investigación de vulnerabilidades y jefe de ZDI en Pattern Micro, que organiza el evento cada año. «Incluso cuando los proveedores dificultan la explotación, los concursantes encuentran un camino para ganar».

El exploit de Zoom le valió a los investigadores de seguridad Daan Keuper y Thijs Alke, de la firma holandesa Computest Safety, un premio de $ 200,000 y 20 puntos de Master of Pwn. Su exploit implicó encadenar tres errores en el cliente de mensajería Zoom para obtener la ejecución del código en un sistema de destino, sin que el usuario tenga que hacer clic o hacer nada. Una declaración de Computest explain el exploit como que les da a los dos investigadores el regulate para ejecutar acciones en el dispositivo que ejecuta el cliente Zoom, como encender la cámara y el micrófono, leer correos electrónicos y contenido de la pantalla, y descargar el historial del navegador. Todas las acciones se pueden realizar sin que el usuario tenga que hacer nada o incluso darse cuenta de la actividad.

A diferencia de las vulnerabilidades reveladas anteriormente en la aplicación Zoom que en su mayoría permitían a los atacantes fisgonear en las videollamadas, las recién descubiertas son más serias porque brindan a los actores de amenazas una forma de hacerse cargo de todo el sistema, dijo Computest.

El exploit Zoom fue uno de varios exploits de alto perfil en un evento Pwn2Own donde unos $ 1.5 millones están disponibles para los investigadores de seguridad que pueden encontrar y demostrar vulnerabilidades explotables en una lista seleccionada de productos en siete categorías. Los productos de destino incluyeron Microsoft Trade Server y SharePoint en la categoría de servidor Teams y Zoom en la sección de comunicaciones empresariales Microsoft Edge, Google Chrome y Apple Safari en la categoría de navegador y Adobe Reader y Microsoft Place of work 365 ProPlus en la categoría de aplicaciones empresariales. En una señal de los tiempos, el automóvil Product 3 de Tesla también fue uno de los objetivos disponibles para los investigadores.

El anual Pwn2Very own El concurso se lanzó en 2007 y es parte de la conferencia de seguridad CanSecWest. A lo largo de los años, el evento se ha convertido en un lugar para que algunos de los mejores hackers de sombrero blanco del mundo se reúnan y prueben tecnologías populares y ampliamente utilizadas. El evento se ha convertido en una especie de campo de pruebas de seguridad para los proveedores de tecnología y ha sido útil para ayudarlos a identificar y cerrar vulnerabilidades que podrían haber pasado por alto. Los organizadores de Pwn2Individual dan a los proveedores 90 días para corregir las vulnerabilidades que se les revelan en el evento.

«El concurso ciertamente ha crecido y se ha expandido en los últimos años», dice Gorenc. «Hemos agregado categorías para automóviles y comunicaciones empresariales mientras mantenemos objetivos tradicionales como navegadores website y sistemas operativos».

Numerosas hazañas
En los primeros dos días del concurso de tres días, los investigadores de seguridad de todo el mundo perforaron múltiples tecnologías ampliamente utilizadas y recaudaron decenas de miles de dólares en el proceso.

Jack Dates de RET2 Devices ganó $ 100,000 por explotar un error de desbordamiento de enteros en Implement Safari y un problema de escritura fuera de límites para obtener la ejecución de código a nivel de kernel. Recogió otros $ 40,000 por combinar tres vulnerabilidades en el program de virtualización Parallels Desktop para Apple Macs para ejecutar código en el sistema operativo subyacente.

El exploit de Parallels Desktop de Dates fue uno de los dos que involucró la tecnología de virtualización en Pwn2Personal de este año. El jueves, el investigador de seguridad Benjamin McBride de L3Harris Trenchant utilizó un mistake de corrupción de memoria en Parallels Desktop para escapar de la capa de virtualización y ejecutar código en el sistema operativo subyacente. Al igual que Dates, McBride ganó $ 40,000 por su esfuerzo.

Mientras tanto, los investigadores de DEVCORE Safety Consulting recogieron 200.000 dólares por mostrar cómo los atacantes podían apoderarse por completo de un servidor de Microsoft Trade al combinar una vulnerabilidad de omisión de autenticación con un problema de escalada de privilegios community en la tecnología. El descubrimiento seguramente se sumará a las ya grandes preocupaciones en torno al servidor Exchange provocadas por la reciente divulgación de cuatro errores críticos de día cero en la tecnología.

El investigador de seguridad independiente OV demostró la ejecución de código en Microsoft Teams combinando un par de errores y se le pagó $ 200,000 por el esfuerzo. Un equipo de Viettel Cyber ​​Security ganó $ 40,000 por mostrar cómo los atacantes podrían aprovechar un mistake de desbordamiento de enteros en Windows 10 para escalar privilegios de un usuario ordinary a un usuario con privilegios de nivel de sistema.

Bruno Keith y Niklas Baumstark de Dataflow Safety explotaron el renderizador de Google Chrome y Microsoft Edge usando el mismo exploit contra ambas tecnologías de navegador y obtuvieron $ 100,000 como recompensa por su trabajo.

«Lo más importante hasta ahora es la amplitud del talento que llega a la competencia», dice Gorenc. «Es genial ver el arte genuine de la explotación en acción contra una variedad de objetivos».

Los exploits dirigidos a Microsoft Trade Teams y Zoom han sido los más importantes hasta ahora, dice.

«Ya hemos visto el impacto que los errores de Exchange tienen en las empresas este año, por lo que encontrar y corregir estos errores antes de que los atacantes los utilicen es enorme», señala Gorenc.

Del mismo modo, Microsoft Teams y Zoom son casi omnipresentes. Pero no se han realizado muchas investigaciones sobre su seguridad.

«Lograr que los investigadores centren su interés aquí proporciona a los proveedores un gran recurso para resolver estas vulnerabilidades antes de que puedan ser utilizadas por los adversarios», dice Gorenc.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first