Le nuove falle di Zoom, su Windows e Mac: come proteggersi mentre la società corre ai ripari

Le nuove falle di Zoom, su Windows e Mac: come proteggersi mentre la società corre ai ripari

Una popolarità inaspettata porta a galla falle gravissime di sicurezza e privacy. Il CEO fa ammenda e sospende per 90 giorni lo sviluppo di funzionalità per concentrarsi sulla risoluzione dei problemi

di pubblicata il , alle 18:41 nel canale Web
Zoom
 

Attenzione per tutti gli utenti Zoom su Windows: l'applicativo ormai largamente usato per le sue funzionalità di videochat è affeto da una grave vulnerabilità che permette a malintenzionati capaci di sfruttarla di sottrarre le credenziali di autenticazione del sistema operativo. E anche gli utenti Mac non possono stare al sicuro: due nuove falle mettono a repentaglio la sicurezza del sistema.

La scoperta avviene nel momento in cui l'utilizzo di Zoom si è impennato come contromisura al distanziamento sociale forzato stbilito per limitare la diffusione della pandemia COVID-19. Con una massiccia quantità di persone che si sono trovate a lavorare da casa, molte di esse hanno deciso di affidarsi a Zoom per tenere i contatti tra colleghi, clienti e partner. Zoom ha registrato per il solo mese di marzo 200 milioni di utenti, laddove a dicembre furono circa 10 milioni.

Il problema è che molti endpoint si collegano tramite normali reti domestiche senza particolari accorgimenti di sicurezza, trovandosi però a gestire quelle informazioni sensibili e riservate proprie del lavoro che svolgono. L'attacco funziona usando la finestra chat di Zoom per inviare al bersaglio una stringa di testo, in formato Universal Naming Convention, che Zoom trasforma automaticamente in un link cliccabile. Nel caso in cui il bersaglio clicchi sul link in quelle reti che non sono appropriatamente protette, Zoom invia i nomi utente e i corrispondenti hash NTLM (di fatto le password in forma criptata) all'indirizzo contenuto nel link e controllato dall'attaccante.

L'attacco pass-the-hash e la possibile contromisura chiudendo la porta 445

L'attaccante può a questo punto usare le credenziali per accedere alle risorse di rete condivise, come i server di Outlook e i dispositivi di storage. Di norma le risorse in una rete Windows accettano l'hash NTLM quando devono autenticare un dispositivo, rendendo possibile perpetrare un attacco cosiddetto pass-the-hash, che non richiede alcuna tecnica di violazione per convertire l'hash nella sua corrispondente password in testo semplice. Gli attacchi possono essere condotti in maniera abbastanza semplice, e da individui che possono partecipare a meeting magari tramite i cosiddetti raid di Zoom bombing, accedendo a quei meeting non protetti da password e il cui link è pubblico.

Quando l'utente Windows clicca sul link mentre sono conessi a reti o macchine non sicure, l'app Zoom invia le credenziali sulla porta 445 che è usata per trasmettere traffico legato ai servizi Windows SMB e Active Directory. Nel caso in cui la porta 445 sia chiusa verso l'esterno tramite firewall o tramite blocco da parte del provider di connettività, l'attacco fallisce. Ma è difficile che questa porta sia chiusa sulla maggior parte delle reti domestiche degli utenti Zoom: il consiglio quindi è quella di chiuderla tramite un firewall, a meno che non sia necessario tenerla aperta perché usata per qualche servizio indispensabile per la conduzione dell'attività di lavoro o studio da remoto.

Falle di Zoom anche nella versione per macOS

Per quanto riguarda invece la versione per Mac si è scoperto che il programma di installazione di Zoom va a richiamare un'API per eseguire varie attività di installazione con privilegi che presta facilmente il fianco alla possibilità di mettere in atto un attacco per un'escalation di privilegi e riuscire ad ottenere l'accesso al sistema come root, potendo quindi eseguire qualsiasi tipo di azione. Va detto che in questo caso la vulnerabilità può essere sfruttata solo tramite un attacco locale, ma ciò non toglie la gravità della stessa.

Una seconda vulnerabilità permetterebbe poi ad attaccanti di accedere alla videocamera e al microfono, oltre a rendere possibile la registrazione dello schermo, e tutto senza che l'utente possa essere in qualche modo chiamato ad intervenire o ad autorizzare le attività. Il ricercatore di sicurezza Patrick Wardle - ex hacker per l'NSA statunitense - spiega che la vulnerabilità permette di iniettare codice dannoso nello spazio di processo di Zoom aprendo la possibilità di registrare l'attività dell'utente e ciò che avviene durante i meeting virtuali. Wardle suggerisce di utilizzare Overisght, una piccola applicazione sviluppata da egli stesso, che mostra una notifica ogni volta in cui viene richiesto da qualsiasi applicazione/servizio l'accesso alla webcam e al microfono.

I problemi di Zoom: il CEO corre ai ripari

Questi sono solo gli ultimi di una serie di incresciosi episodi che ha visto protagionista l'app in queste ultime settimane quando, con l'impennata nel suo utilizzo, sono venute a galla moltissime problematiche di sicurezza, privacy e usabilità. Tanto che alcune realtà di grosso calibro come SpaceX e la NASA ne hanno vietato l'uso, e spinto l'FBI a sconsigliarlo.

Questa situazione situazione ha portato già ieri il CEO di Zoom, Eric S. Yuan a scrivere un lungo post sul blog della compagnia per affrontare alcuni dei problemi più significativi dell'app. Per i prossimi 90 giorni Zoom ha deciso di sospendere completamente lo sviluppo di nuove funzionalità, per concentrarsi sulla correzione dei problemi esistenti. "Supportare questo afflusso di nuovi utenti è stata un'impresa straordinaria e il nostro unico obiettivo di queste passate settimane. Tuttavia riconosciamo di aver deluso le aspettative della comunità e le nostre stesse aspettative su sicurezza e privacy. Sono profondamente dispiaciuto per questo e voglio condividere con voi che cosa stiamo facendo a tal proposito".

Prevedibilmente Yuan sottolinea come la massiccia adozione abbia portato ad una serie di grattacapi imprevisti: "Non abbiamo progettato il prodotto prevedendo che in poche settimane chiunque nel mondo avrebbe lavorato, studiato e socializzato da casa. Ora abbiamo un numero molto più grande di utenti che usa il nostro prodotto in una miriade di modi nuovi, presentandoci una sesrie di sfide che non abbiamo considerato quando la piattaforma è stata ideata".

Yuan ha poi spiegato che la società arruolerà una società di consulenza per valutare e verificare la situazione nel suo complesso al fine di compilare un rapporto di trasparenza. Zoom ha inoltre deciso di rafforzare il suo programma di bug bounty che offre ricompense monetarie per i ricercatori di sicurezza che identificano problemi e vulnerabilità e impone una clausola di riservatezza ai partecipanti. Il programma è gestito tramite il servizio HackerOne.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Yramrag02 Aprile 2020, 19:04 #1
Inoltre, se provo a resettare la pawwsord, ricevo un
[CODE]error: Http 400 Bad Request[/CODE]
dopo aver insertito la mail.
Andiamo bene...
frankie03 Aprile 2020, 00:25 #2
Per didattica online stiamo muovendo tutto verso Gsuite con Meet.
Grazie per prima avermi dato tempo illimitato per CV e poi avermelo tolto.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^