Zoom sufre un nuevo fallo de seguridad que permitía conocer la contraseña de reuniones privadas

Zoom sufre un nuevo fallo de seguridad que permitía conocer la contraseña de reuniones privadas

por Jordi Bercial 29/07/2020 ...

Los problemas de seguridad de Zoom se amontonan conforme pasa el tiempo, y si bien hemos tenido un cierto periodo en el que no se han recibido demasiadas noticias al respecto, una nueva vulnerabilidad en el servicio permitiría conocer la contraseña de reuniones privadas mediante fuerza bruta en menos de una hora.

Existe una cadena de eventos que llevan a que esto pueda producirse, y es que, por una parte, existe un total de un millón de posibles contraseñas que pueden ser descifradas introduciéndolas de forma secuencial, pues, por otro lado, tampoco existe ningún tipo de límite en cuantos errores podemos cometer a la hora de introducir la contraseña de la sala.

Obviamente, podríamos pensar que pasar por un millón de contraseñas podría ser un proceso largo, pero tampoco existe ningún tipo de límite de velocidad con las que se pueden hacer peticiones a los servidores de Zoom, por lo que, desde un solo ordenador, un script de Phyton ha sido capaz de descifrar la contraseña en menos de 30 minutos, un tiempo que puede verse dramáticamente reducido en caso de utilizar varios equipos, algo que en una reunión de valor gubernamental podría ser factible.

Este fallo ya ha sido subsanado, razón por la que el cliente web de Zoom dejó de funcionar por unos días, de forma que esta vulnerabilidad especifica ya no debería ser explotable.

Actualización por parte de Zoom: Al enterarnos de este asunto el 1 de abril, inmediatamente quitamos el cliente web de Zoom para asegurar la seguridad de nuestros usuarios mientras implementábamos las mitigaciones. Desde entonces hemos mejorado la limitación de la tasa, abordado los problemas de los tokens del CSRF y relanzado el cliente web el 9 de abril. Con estas correcciones, el problema se resolvió completamente, y no se requirió ninguna acción por parte del usuario. No tenemos conocimiento de ningún caso en que este exploit haya sido utilizado. Agradecemos a Tom Anthony por llamar nuestra atención sobre este problema. Si cree que ha encontrado un problema de seguridad con los productos de Zoom, por favor envíe un informe detallado a security@zoom.us.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios o ven a nuestro Foro!

Temas Relacionados: Software Vulnerabilidades Zoom
Redactor del Artículo: Jordi Bercial

Jordi Bercial

Ávido entusiasta de la tecnología y la electrónica. Cacharreo con componentes de ordenador casi desde que aprendí a andar. Empecé a trabajar en Geeknetic tras ganar un concurso en su foro sobre redacción de artículos de hardware. Amante del Drift, la mecánica y la fotografía. No te cortes y deja un comentario en mis artículos si tienes alguna consulta.

Comentarios y opiniones sobre: Zoom sufre un nuevo fallo de seguridad que permitía conocer la contraseña de reuniones privadas ¿Qué opinas? ¿Alguna pregunta?