{"id":27616,"date":"2022-09-14T16:52:59","date_gmt":"2022-09-14T14:52:59","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27616"},"modified":"2022-09-14T16:57:45","modified_gmt":"2022-09-14T14:57:45","slug":"defcon30-zoom-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/defcon30-zoom-vulnerability\/27616\/","title":{"rendered":"Una vulnerabilidad en Zoom y la guerra entre hackers y desarrolladores"},"content":{"rendered":"

En marzo de 2020, cuando el teletrabajo se extend\u00eda por todo el mundo, se descubri\u00f3 una vulnerabilidad<\/a> en el instalador de Zoom (una de las principales herramientas de comunicaci\u00f3n a distancia del mundo) que permit\u00eda la ejecuci\u00f3n de c\u00f3digo arbitrario en ordenadores Apple. Zoom solucion\u00f3 esta vulnerabilidad\u2026 o casi.<\/p>\n

Lo cierto es que en agosto de 2022 se ha encontrado un fallo similar (tanto en t\u00e9rminos de localizaci\u00f3n como en las consecuencias de su explotaci\u00f3n).<\/p>\n

En este art\u00edculo vamos a analizar este \u00faltimo problema de seguridad y tratar de explicar por qu\u00e9 los agujeros en el software<\/em>, a veces, vuelven a surgir en el mismo lugar. Por \u00faltimo, terminaremos dando algunos consejos sobre qu\u00e9 hacer al respecto.<\/p>\n

\u00bfEn qu\u00e9 consiste esta \u00faltima vulnerabilidad?<\/h3>\n

El reconocido investigador Patrick Wardle revel\u00f3<\/a> este nuevo problema en Zoom en la DEF CON 30, a principios de agosto de este a\u00f1o. Resumiendo, se encontraron unos cuantos fallos en el sistema de actualizaci\u00f3n autom\u00e1tica del cliente Zoom en Apple. Estos fallos, en teor\u00eda, permit\u00edan obtener los llamados derechos de superusuario, lo que da la posibilidad a un atacante de hacer lo que quiera en el ordenador anfitri\u00f3n.<\/p>\n

Sin embargo, para explotar la vulnerabilidad, el atacante necesitar\u00eda tener acceso f\u00edsico al ordenador, aunque sin derechos especiales. No estamos ante una situaci\u00f3n tan descabellada: por ejemplo, un usuario puede ir a comer y olvidarse de bloquear su ordenador. En teor\u00eda, la vulnerabilidad tambi\u00e9n podr\u00eda ser explotada por un malware<\/em>, que de otro modo no causar\u00eda graves da\u00f1os al usuario.<\/p>\n

M\u00e1s detalles, por favor<\/h3>\n

El tiempo de ejecuci\u00f3n y la sencilla instalaci\u00f3n de las actualizaciones son requisitos importantes para cualquier software <\/em>moderno.<\/p>\n

Lo ideal es que las correcciones de errores se instalen sin que el usuario se percate, pero esto no siempre es posible. Para completar una actualizaci\u00f3n, a menudo hay que reiniciar un programa, volver a iniciar sesi\u00f3n o incluso reiniciar el equipo.<\/p>\n

A todos nos molestan los mensajes emergentes que nos recuerdan que debemos actualizar un programa, un sistema operativo o el firmware<\/em> de un smartphone<\/em> o de una tablet<\/em>. Pero es vital hacerlo: las actualizaciones parchean agujeros de seguridad que, de no cerrarse, podr\u00edan ser utilizados en tu contra.<\/p>\n

En algunos casos especialmente graves, es necesario proteger de inmediato el software<\/em> vulnerable contra los ciberataques activos: un d\u00eda de retraso puede costarte tus datos.<\/p>\n

La forma est\u00e1ndar de actualizar una aplicaci\u00f3n de macOS es igual que su primera instalaci\u00f3n: descargas la nueva versi\u00f3n, ejecutas el archivo e introduces una contrase\u00f1a de usuario.<\/p>\n

Zoom trat\u00f3 de hacer m\u00e1s simple este procedimiento: el cliente accede al servidor, descarga la nueva versi\u00f3n y esta se instala por s\u00ed sola sin necesidad de que el usuario introduzca una contrase\u00f1a.<\/p>\n

Desgraciadamente, este proceso de comunicaci\u00f3n con el servidor, y de descarga e instalaci\u00f3n de la actualizaci\u00f3n, no siempre se realiza correctamente.<\/p>\n

Hace diez a\u00f1os, el acceso a los servidores sin cifrado de datos era una pr\u00e1ctica com\u00fan, lo que permit\u00eda a un posible atacante sustituir el archivo de actualizaci\u00f3n por un malware<\/em> de forma bastante sencilla. Al implementarse el cifrado, se volvi\u00f3 m\u00e1s complicado, pero todav\u00eda es posible sustituir el archivo despu\u00e9s de la descarga cuando ya est\u00e1 guardado en el disco, pero a\u00fan no est\u00e1 instalado.<\/p>\n

En la \u00faltima versi\u00f3n de Zoom, de finales del a\u00f1o pasado cuando Patrick comenz\u00f3 su investigaci\u00f3n, todo parec\u00eda estar bien. El cliente accede a un servidor especial de actualizaciones a trav\u00e9s de un canal seguro, descarga el archivo, valida su autenticidad (comprueba que est\u00e1 firmado por el certificado del proveedor) y lo instala. Para la instalaci\u00f3n, el SW solicita al sistema derechos temporales de superusuario, pero de tal forma que el usuario no necesita introducir una contrase\u00f1a.<\/p>\n

\"Extracto

Extracto de la presentaci\u00f3n de Patrick Wardle que muestra la ventaja de las actualizaciones de las firmas. Fuente.\u00a0<\/a><\/p><\/div>\n

La firma digital es importante. Al fin y al cabo, el programa se descarga en el ordenador del usuario desde alg\u00fan rinc\u00f3n de Internet y se ejecuta con m\u00e1ximos privilegios. Por lo tanto, hay que asegurarse de que lo que descargamos es el programa correcto.<\/p>\n

Una versi\u00f3n falsa del archivo descargado no funcionar\u00e1: como se muestra arriba en la diapositiva de la presentaci\u00f3n de Patrick, la sustituci\u00f3n del archivo da lugar a un mensaje de error. En resumen, la actualizaci\u00f3n falsa no tiene firma digital (y es extremadamente dif\u00edcil llegar a falsificar una).<\/p>\n

Lamentablemente, el proceso de validaci\u00f3n de la firma digital en Zoom ten\u00eda sus fallos. Funcionaba ejecutando una utilidad del sistema. Esta mostraba los par\u00e1metros de la firma digital de la actualizaci\u00f3n descargada, incluyendo una l\u00ednea que indicaba qu\u00e9 empresa hab\u00eda recibido el certificado:<\/p>\n

Zoom Video Communications, Inc. Developer ID Certification Authority Apple Root CA<\/em><\/p>\n

Se procesaba la salida de la utilidad y, si esta l\u00ednea estaba presente, se iniciaba la instalaci\u00f3n. El problema era que el nombre del archivo tambi\u00e9n aparec\u00eda en la salida. As\u00ed que, en teor\u00eda, un atacante podr\u00eda crear una actualizaci\u00f3n maliciosa con el nombre \u201cZoom Video Communications, Inc. <\/em>Developer ID Certification Authority Apple Root CA.pkg<\/em>\u201d en lugar del est\u00e1ndar \u201cZoomUpdate.pkg\u201d.<\/em> Y eso ser\u00eda suficiente para enga\u00f1ar al procedimiento de validaci\u00f3n: la l\u00ednea requerida est\u00e1 ah\u00ed, as\u00ed que el archivo debe ser leg\u00edtimo \u2013 \u00a1aunque sea el archivo equivocado y las palabras m\u00e1gicas est\u00e9n en el lugar equivocado!<\/p>\n

Un ataque podr\u00eda ser as\u00ed: se inicia el procedimiento de validaci\u00f3n de la actualizaci\u00f3n (no es dif\u00edcil de hacer), luego se descarga la actualizaci\u00f3n leg\u00edtima, se sustituye por malware<\/em> y se le cambia el nombre para burlar el proceso de validaci\u00f3n del certificado roto. El archivo malicioso se ejecuta con privilegios del sistema y\u2026 \u00a1el ordenador se ha hackeado!<\/p>\n

Pero el 20 de diciembre de 2021 se public\u00f3 una actualizaci\u00f3n de Zoom que puso fin a esta v\u00eda de ataque. El cambio era sencillo: se forzaba un cambio de nombre del archivo tras la descarga. Patrick Wardle pudo modificar el ataque: si Zoom es seguro desde la versi\u00f3n 5.9.0, \u00bfqu\u00e9 pasa si \u201cactualizamos\u201d el cliente a una versi\u00f3n anterior? Y funcion\u00f3: la antigua actualizaci\u00f3n ten\u00eda un certificado digital leg\u00edtimo y la versi\u00f3n no se comprobaba durante la instalaci\u00f3n.<\/p>\n

\u00bfY cu\u00e1l es el problema?<\/h3>\n

La investigaci\u00f3n de Patrick Wardle demuestra lo importante que es la instalaci\u00f3n de actualizaciones. Es m\u00e1s, la historia de este fallo demuestra claramente c\u00f3mo los desarrolladores de software <\/em>a menudo intentan resolver un problema mediante un simple cambio sin entenderlo por completo.<\/p>\n

Al principio (incluso antes de que Wardle informara del problema a Zoom), en diciembre de 2021, \u201cderrotaron\u201d la versi\u00f3n m\u00e1s sencilla de un ataque que utilizaba la sustituci\u00f3n de archivos y elud\u00eda la validaci\u00f3n de certificados. Despu\u00e9s de que se informara de la vulnerabilidad, en abril de 2022, cerraron la opci\u00f3n de \u201cdowngrade<\/em>\u201c, es decir, la instalaci\u00f3n de una versi\u00f3n m\u00e1s antigua y vulnerable de Zoom a trav\u00e9s del mecanismo est\u00e1ndar de actualizaciones. Pero no fue hasta seis meses despu\u00e9s del informe de Wardle, cuando se repar\u00f3 el mecanismo de validaci\u00f3n de certificados digitales.<\/p>\n

Sin embargo, esto no resolvi\u00f3 por completo el problema. S\u00ed se eliminaron de los recursos de los posibles hacker<\/em>s los dos m\u00e9todos de ataque m\u00e1s sencillos: la sustituci\u00f3n del archivo de actualizaci\u00f3n por malware<\/em> y el cambio a una versi\u00f3n vulnerable. Pero hab\u00eda otro problema: un archivo de actualizaci\u00f3n ejecutado con privilegios de superusuario pod\u00eda ser modificado por cualquiera que tuviera acceso al ordenador.<\/p>\n

Un atacante solamente ten\u00eda que encontrar la forma de introducir un archivo malicioso en el instalador de Zoom en el momento adecuado: despu\u00e9s de la validaci\u00f3n de la firma digital, pero antes de que comenzara la instalaci\u00f3n. Y funcion\u00f3.<\/p>\n

Por lo tanto, cuando Patrick Wardle present\u00f3 sus descubrimientos en la DEF CON 30 de agosto de 2022 \u2013 ocho meses despu\u00e9s de informar del problema a Zoom \u2013 \u00a1la vulnerabilidad no estaba completamente parcheada! Cinco d\u00edas despu\u00e9s del informe de Patrick, los desarrolladores finalmente parchearon el problema. Sin embargo, esta afirmaci\u00f3n debe ser verificada de forma independiente.<\/p>\n

Sobre los hackers y los desarrolladores<\/h3>\n

Al leer el informe de Patrick Wardle, uno no puede evitar preguntarse por qu\u00e9 tiene que ser as\u00ed. \u00bfC\u00f3mo surgen vulnerabilidades tan simples en partes cr\u00edticas del software<\/em><\/strong>, y por qu\u00e9, incluso despu\u00e9s de que se informe de un problema, este se soluciona finalmente ocho meses m\u00e1s tarde y al tercer intento? Por supuesto, no queremos tachar de incompetentes a los desarrolladores, ya que en todos los programas surgen fallos y errores de vez en cuando. Y, si todos los programadores cometen errores, echarles la culpa no resolver\u00e1 el problema, ya que son los \u00fanicos desarrolladores que hay en el mundo.<\/p>\n

Tal vez la raz\u00f3n sea que los hackers <\/em>de sombrero blanco (que informan de sus hallazgos a los proveedores) y los ciberdelincuentes (que aprovechan los agujeros para atacar a los usuarios y obtener beneficios) tienen prioridades diferentes a las de los desarrolladores de software<\/em>.<\/p>\n

Cuando desarrollas un programa, lo m\u00e1s importante es que realice correctamente cientos de tareas diferentes. Tu prioridad es proporcionar confort a los usuarios, lo que significa, en el caso de Zoom, ofrecerles una buena calidad de comunicaci\u00f3n y compatibilidad con diferentes sistemas operativos y miles de dispositivos, tanto antiguos como nuevos.<\/p>\n

Sin embargo, lo \u00fanico que necesita el hacker <\/em>es encontrar un fallo que pueda ser utilizado para hacer trucos sucios. Ahora imagina que alguien te informa de una vulnerabilidad. S\u00ed, tienes que parchearla, pero sin destrozar el delicado sistema de software<\/em> cliente-servidor. Tienes que probarlo en cientos de configuraciones diferentes. Naturalmente, el desarrollador quiere resolver el problema con unas modificaciones m\u00ednimas que, a menudo, no son suficientes.<\/p>\n

Los programas se vuelven m\u00e1s seguros con el paso del tiempo, con cada peque\u00f1o parche. No se pueden resolver absolutamente todos los problemas y crear una aplicaci\u00f3n ideal sin m\u00e1s. O, mejor dicho, s\u00ed se puede, pero solo partiendo de cero. Pero algunos elementos cr\u00edticos deben tener el mejor mantenimiento posible, y el sistema de entrega de actualizaciones es uno de ellos. Los usuarios necesitamos poder confiar en los programas que instalamos en nuestros ordenadores y, en este sentido, la historia de las vulnerabilidades de Zoom es un ejemplo positivo de un investigador independiente y un desarrollador trabajando juntos para resolver un problema. Esto demuestra claramente la actitud responsable del desarrollador.<\/p>\n

Terminamos este art\u00edculo con un importante recordatorio: el malware<\/em> suele entrar en un ordenador durante la primera instalaci\u00f3n del software<\/em>. Por lo tanto, es importante comprobar que las utilidades se descargan de fuentes oficiales, utilizar las tiendas de aplicaciones siempre que sea posible, y en ning\u00fan caso descargar programas de sitios web sospechosos. De lo contrario, existe la posibilidad de que tus datos sean robados a trav\u00e9s de m\u00e9todos de hackeo muy sencillos, sin necesidad de explotar sofisticadas vulnerabilidades en el software <\/em>oficial.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Conclusiones de la DEF CON 30: una vulnerabilidad en Zoom para macOS.<\/p>\n","protected":false},"author":665,"featured_media":27618,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[28,893,671,3320,784],"class_list":{"0":"post-27616","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-apple","9":"tag-def-con","10":"tag-macos","11":"tag-videoconferencias","12":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/defcon30-zoom-vulnerability\/27616\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/defcon30-zoom-vulnerability\/24561\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/defcon30-zoom-vulnerability\/20027\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/defcon30-zoom-vulnerability\/27010\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/defcon30-zoom-vulnerability\/24918\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/defcon30-zoom-vulnerability\/25259\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/defcon30-zoom-vulnerability\/33925\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/defcon30-zoom-vulnerability\/11012\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/defcon30-zoom-vulnerability\/45420\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/defcon30-zoom-vulnerability\/19410\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/defcon30-zoom-vulnerability\/20011\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/defcon30-zoom-vulnerability\/29272\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/defcon30-zoom-vulnerability\/25412\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/defcon30-zoom-vulnerability\/30967\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/defcon30-zoom-vulnerability\/30663\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27616","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27616"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27616\/revisions"}],"predecessor-version":[{"id":27621,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27616\/revisions\/27621"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27618"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27616"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27616"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27616"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}