CIBERSEGURIDAD

En defensa del zoom

0 77 4 minutos de lectura


Guram enfatiza que no está ‘patrocinado por Zoom’ 😊

En primer lugar, nada es a prueba de balas y cualquier cosa puede ser pirateada. Todos cometemos errores y aprendemos de ellos. Así es como y por qué mejoramos y actualizamos el software de forma regular.

La pregunta es: ¿sobre qué base otros autores de blogs o investigadores están asumiendo que hay RCE, UNC Path Injection, cifrado E2E débil o nulo y muchas otras vulnerabilidades que se han mencionado en las últimas semanas? Si han estado probando o apuntando Zoom sistemas en su entorno de producción sin autorización de prueba de penetración, entonces eso es ilegal y poco ético. Creo que la mayoría de estas publicaciones de blog son publicaciones no autorizadas de investigadores poco éticos.

Una breve aclaración sobre algunas de las vulnerabilidades publicadas recientemente y mis pensamientos personales sobre ellas:

  1. Zoom grabaciones de video accesibles al público

Este es un problema del usuario. Hay una opción dentro del panel de administración de Zoom donde puede configurar los registros de video para que sean privados, públicos o solo accesibles para los participantes de la llamada. Si no conoce la configuración actual, es mejor que compruebe antes de grabación. Si la grabación está configurada como ‘Pública’, cualquier persona que tenga acceso al enlace podrá ver el contenido del video.

De forma predeterminada, los usuarios tienden a dejar ‘Público’ habilitado y luego, si publican el enlace en algún lugar o incluso acceden al enlace a través del navegador compartido (ya que la clave encriptada del registro de video está contenida en la URL), permanecerá en el historial del navegador y quien sea tiene acceso a la máquina podrá acceder a ella.

  1. Bombardeo de zoom (los atacantes pueden utilizar la fuerza bruta de identificación y contraseña)

Incluso si tuvieras una contraseña e identificación válidas, aún inicias una llamada en una ‘sala de espera’ hasta que el anfitrión te admita. Básicamente, no puede hacer nada en la sala de espera y no hay forma de que pueda evitarlo hasta que el anfitrión lo admita en la reunión.

Además, no estoy muy seguro de la fuerza bruta ya que Zoom usa la protección WAF Cloudflare. Esto necesita un poco de ajuste (hubiera pensado, Zoom permitió múltiples intentos de inicio de sesión fallidos sin bloquear a los participantes, ya que los participantes pueden obtener una contraseña o identificación incorrecta) pero nuevamente esto se puede mejorar desde el panel de administración si uno está familiarizado con la configuración.

Nuevamente, conciencia del usuario: elija usar contraseñas complejas, siempre puede configurar esto usted mismo si desea estar seguro.

  1. Inyección de ruta UNC

UNC Path también es posible con otras aplicaciones modernas, no solo con Zoom. MS Outlook también permite la ruta UNC como hipervínculo. ¿Así que lo que? Nunca hemos abandonado Outlook por esto. Sin embargo, Zoom ya abordó esto y la última versión ya no permite UNC Path.

  1. Zoom no es compatible con el cifrado E2E

Zoom reconoce los problemas de cifrado y trabajaron proactivamente en esto para abordar los problemas de cifrado E2E. De hecho, Zoom siempre admitió TLSv1.2 para todas sus comunicaciones, pero había un cifrado criptográfico débil. Todos los participantes utilizan una única clave AES-128 en el modo ECB para cifrar y descifrar audio y vídeo. No se recomienda el uso del modo ECB porque los patrones presentes en el texto sin formato se conservan durante el cifrado.

Cabe mencionar que incluso si un tercero deshabilita deliberadamente el cifrado E2E e inicia una reunión, pero si el invitado se une con el cifrado E2E habilitado, esta función se aplica y la comunicación para ambas partes se cifra.

  1. Aplicación inconsistente de la política de seguridad

Asesoramiento al equipo de Zoom y a los usuarios de Zoom sobre anomalías con el uso compartido de archivos, grabación y uso compartido de pantalla y control remoto:

El uso compartido de archivos se puede deshabilitar desde el panel de administración de Zoom y las personas de su organización no podrán transferir archivos durante el chat / reuniones de Zoom. Sin embargo, si un anfitrión de terceros tiene esta función habilitada, es posible enviar archivos a todos los usuarios participantes (invitados). Si los participantes tienen el recurso compartido de archivos desactivado por su administrador y no pueden enviar archivos, aún podrán recibir y descargar archivos de un host de terceros, lo que aumenta el riesgo de que se les envíe malware u otros archivos maliciosos.

Si la función de grabación está desactivada desde el administrador de Zoom de su organización, y alguien de su organización está organizando una reunión, la función de grabación no estará disponible para ninguna parte, incluidos los terceros. Sin embargo, si un anfitrión externo tiene esta función habilitada, esta función está disponible para todos los participantes de la reunión (su organización y terceros).

  • Pantalla compartida + control remoto

Recomendaría revisar el uso de esta función y deshabilitarla si no es necesario.

De forma predeterminada, la función ‘Control remoto’ no está deshabilitada ni bloqueada por los administradores. Habilitar la función de control remoto para los participantes o usuarios del host de su organización aumenta el riesgo de que sus miembros permitan que terceros tomen el control remoto de un sistema de host interno y posiblemente accedan a información no deseada oa los recursos de red de su organización.

Cabe señalar que un usuario final aún debe otorgar permiso para permitir el control remoto de su sistema.

En resumen

Lo más importante es que probar o usar software de terceros de manera no ética es ilegal y se debe solicitar autorización antes de realizar cualquier actividad. EternalBlue Apuntó a miles de sistemas Windows y más de 200.000 organizaciones sufrieron como resultado de la vulnerabilidad de EternalBlue, pero nadie abandonó los sistemas Windows y aún lo usa. Whatsapp también sufrió algunas vulnerabilidades graves, pero aún las usamos. Siempre que Zoom tome medidas sobre todas las cuestiones de seguridad e intente resolver los problemas lo antes posible, eso es lo principal.

La versión gratuita de Zoom viene con acceso administrativo limitado y es posible que no le brinde un control total sobre los controles y la configuración de seguridad. Si elige utilizar una licencia gratuita, acepta que no tendrá la gama completa de funciones como la versión de pago. Si desea esas funciones, pague por ellas.

Revise la configuración del panel de administración de Zoom a fondo y asegúrese de comprender qué es qué y qué hace qué.

Puede leer más sobre la seguridad de las aplicaciones de colaboración. aquí.

Publicaciones relacionadas

Se cree que los ataques de ransomware dirigidos a Israel están relacionados con los actores de amenazas iraníes

Los estafadores fingen ser de la CIA para extorsionar $ 10K USD a las víctimas presuntamente vinculadas a la pornografía de menores de edad en línea.

Una nueva investigación revela una gran desconexión entre creencias y acciones con respecto a IoT y seguridad en la nube

La industria de drones da la bienvenida a los primeros estándares de drones del mundo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar