Zoom corrige el error permitiendo a los atacantes descifrar contraseñas de reuniones privadas

Como vicepresidente de productos en SearchPoint, descubrió Tom Anthony, la falta de limitación de velocidad en intentos de contraseña repetidos permitió a los atacantes descifrar la contraseña numérica utilizada para asegurar las reuniones privadas de Zoom.

Anthony descubrió que «las reuniones de Zoom están (estaban) protegidas por defecto con una contraseña numérica de 6 dígitos, lo que significa 1 millón de contraseñas máximas».

Descubrió una vulnerabilidad en el cliente web de Zoom que permitía a los atacantes adivinar la contraseña de cualquier reunión probando todas las combinaciones posibles hasta encontrar la verdadera.

Él dice: «Esto permite que un atacante intente todos los 1 millón de contraseñas en cuestión de minutos y obtenga acceso a las reuniones de Zoom privadas (protegidas con contraseña) de otras personas. Esto también plantea la inquietante pregunta sobre si otros potencialmente ya estaban utilizando esta vulnerabilidad para escuchar el llamado de otras personas ”.

Los atacantes no necesitan tiempo para descifrar las contraseñas, ya que no podrían tener que revisar la lista completa de 1 millón de contraseñas posibles. Como las reuniones periódicas que incluyen los PMI siempre tienen la misma contraseña, todo lo que necesitan los atacantes es descifrarlas una vez y obtener acceso permanente a futuras sesiones.

Anthony logró demostrar que podía descifrar la contraseña de una reunión dentro de los 25 minutos después de verificar 91,000 contraseñas con una máquina AWS. Agregó: «Con una mejora en el subprocesamiento y la distribución a través de 4-5 servidores en la nube, puede verificar todo el espacio de la contraseña en unos minutos».

Anthony informó el problema del cliente web a la compañía el 1 de abril de 2020 junto con la prueba de Python para mostrar cómo los atacantes podían forzar su camino a cualquier reunión de protección con contraseña. Después del informe, la compañía eliminó el cliente web para abordar la vulnerabilidad. Al día siguiente, la compañía agregó un informe de incidentes en su página de estado oficial que decía: «Zoom colocará al cliente web en modo de mantenimiento y desconectará esta parte del servicio».

En una semana, Zoom abordó el problema de limitación de velocidad de intento de contraseña «al solicitar que un usuario inicie sesión para unirse a reuniones en el cliente web y actualizar las contraseñas de reunión predeterminadas para que no sean numéricas y sean más largas».

Al enterarnos de este problema el 1 de abril, retiramos de inmediato el cliente web de Zoom para garantizar la seguridad de nuestros usuarios mientras implementamos mitigaciones. Desde entonces, hemos mejorado la limitación de velocidad, hemos abordado los problemas del token CSRF y relanzamos el cliente web el 9 de abril. Con estas soluciones, el problema se resolvió por completo y no se requirió ninguna acción del usuario. No tenemos conocimiento de ninguna instancia de este exploit que se use en la naturaleza. Agradecemos a Tom Anthony por informarnos sobre este tema. Si cree que ha encontrado un problema de seguridad con los productos Zoom, envíe un informe detallado a [email protected] – Zoom