Los agujeros de seguridad de Zoom pueden permitir que los piratas informáticos controlen su computadora portátil
Dos piratas informáticos éticos pudieron explotar las vulnerabilidades de día cero en el Ampliación Cliente de escritorio Messenger para ejecutar código aleatorio en la máquina de la víctima.
Daan Keuper y Thijs Alkemade de CompuTest Security demostraron su hazaña en el concurso de piratería Pwn2Own en curso, y recibieron una recompensa de error de $ 200,000 por vídeo conferencia Servicio.
Al comentar sobre el exploit, Keuper dijo que si bien las vulnerabilidades anteriores de Zoom permitían a los atacantes infiltrarse en las llamadas, su explotación era mucho más seria ya que les permite a los atacantes controlar todo el sistema.
Estamos analizando cómo nuestros lectores utilizan VPN para un futuro informe detallado. Nos encantaría conocer su opinión en la encuesta a continuación. No tomará más de 60 segundos de su tiempo.
>> Haga clic aquí para iniciar la búsqueda en una nueva ventana<
Robo de sistemas remotos
Los piratas informáticos éticos encadenaron tres vulnerabilidades en el mensajero de Zoom para crear su exploit.
Aún más alarmante es el hecho de que pudieron tomar el control del sistema remoto ejecutando el cliente Zoom sin la participación de la víctima; la explotación no requería que la víctima hiciera clic en ningún enlace ni abriera ningún archivo adjunto.
Después del éxito, la pareja tenía un control casi completo sobre la computadora remota. Demostraron varias acciones, como alternar el Cámara web y el micrófono, mirando el escritorio, leyendo correos electrónicos y descargando el historial del navegador de la víctima.
Pwn2Own es una conferencia de seguridad popular donde los piratas informáticos éticos demuestran vulnerabilidades de día cero en dispositivos y aplicaciones populares. Dado el surgimiento de colaboración remota herramientas, los organizadores de la conferencia agregaron las nuevas Comunicaciones de negocios categoría este año.
En otra parte de la conferencia, otro hacker ético hackeó Microsoft Teams, explotando nuevamente una combinación de vulnerabilidades para ejecutar código arbitrario, y ganó $ 200,000 como recompensa por errores de Microsoft.
