Los investigadores de ciberseguridad han encontrado una vulnerabilidad crítica de día cero en la aplicación de videoconferencia Zoom. Esta vulnerabilidad se encontró en el cliente de Windows del Zoom. Esta vulnerabilidad permite la ejecución limitada de código remoto RCE, lo que puede permitir la filtración de información de red. La aplicación tiene vulnerabilidad en el manejo de las rutas del Identificador uniforme de recursos(UNI), lo que puede resultar en la inyección de Universal Naming Convention (UNC) .
El investigador llamado Matthew Hickey encontró esta vulnerabilidad. Se informó que la vulnerabilidad hizo zoom.
Cualquiera puede agregar enlaces maliciosos al chat para exponer el nombre de la computadora o el dominio o la contraseña hash de Windows. Estos enlaces pueden tener Microsoft Excel, que puede ejecutar el código malicioso cuando se abre. Una vez que alguien tiene su contraseña hash, no es muy difícil hackear la red u otro servidor. Esto también permite crear backdoor o ejecutar malware en el dispositivo de destino.
El investigador mostró una prueba de concepto mediante la ejecución de la aplicación de calculadora incorporada enviando un enlace:
\\127.0.0.1\C$\Windows\System32\Calc.exe
Si envía este enlace a alguien en el chat de zoom y si hace clic, se abrirá la calculadora. Windows podría mostrar alerta en este caso, pero la mayoría de los ataques avanzados que podrían no ser el caso
La falla afecta solo al cliente de Windows de Zoom. En macOS de Apple, no funciona el ataque. Pero en la aplicación de iOS, la aplicación compartió toda la información personal del usuario con Facebook
Otros investigadores han descubierto que la función del Directorio de la empresa de Zoom filtra las direcciones de correo electrónico y las fotos, y que la aplicación de videoconferencia no utiliza cifrado de extremo a extremo para proteger las llamadas de la intercepción.