Un investigador de seguridad encontró una forma en que un atacante podría aprovechar la versión macOS de Zoom para obtener acceso a todo el sistema operativo. Los detalles del exploit se dieron a conocer en una presentación realizada por el especialista en seguridad de Mac Patrick Wardle en la conferencia de hacking Def Con en Las Vegas el viernes. Zoom ya ha solucionado algunos de los errores involucrados, pero el investigador también presentó una vulnerabilidad sin parches que todavía afecta a los sistemas ahora.
El exploit funciona apuntando al instalador de la aplicación Zoom, que debe ejecutarse con permisos de usuario especiales para instalar o eliminar la aplicación Zoom principal de una computadora. Aunque el instalador requiere que el usuario ingrese su contraseña al agregar la aplicación al sistema por primera vez, Wardle descubrió que una función de actualización automática se ejecutaba continuamente en segundo plano con privilegios de superusuario.
UN ATAQUE DE ESCALADA DE PRIVILEGIOS
Cuando Zoom emitía una actualización, la función de actualización instalaría el nuevo paquete después de comprobar que Zoom lo había firmado criptográficamente. Pero un error en la forma en que se implementó el método de verificación significó que dar al actualizador cualquier archivo con el mismo nombre que el certificado de firma de Zoom sería suficiente para pasar la prueba, por lo que un atacante podría sustituir cualquier tipo de programa de malware y hacer que lo ejecute el actualizador con privilegios elevados.
El resultado es un ataque de escalada de privilegios , que asume que un atacante ya obtuvo acceso inicial al sistema de destino y luego emplea un exploit para obtener un mayor nivel de acceso. En este caso, el atacante comienza con una cuenta de usuario restringida pero escala al tipo de usuario más poderoso, conocido como "superusuario" o "raíz", lo que le permite agregar, eliminar o modificar cualquier archivo en la máquina.
Wardle es el fundador de Objective-See Foundation, una organización sin fines de lucro que crea herramientas de seguridad de código abierto para macOS. Anteriormente, en la conferencia de seguridad cibernética Black Hat celebrada la misma semana que Def Con, Wardle detalló el uso no autorizado de algoritmos extraídos de su software de seguridad de código abierto por parte de empresas con fines de lucro .
Siguiendo los protocolos de divulgación responsable, Wardle informó a Zoom sobre la vulnerabilidad en diciembre del año pasado. Para su frustración, dice que una solución inicial de Zoom contenía otro error que significaba que la vulnerabilidad aún se podía explotar de una manera un poco más indirecta, por lo que reveló este segundo error a Zoom y esperó ocho meses antes de publicar la investigación.
“Para mí, eso fue un poco problemático porque no solo informé los errores a Zoom, también informé errores y cómo corregir el código”, dijo Wardle a The Verge en una llamada antes de la charla. “Así que fue realmente frustrante esperar, qué, seis, siete, ocho meses, sabiendo que todas las versiones Mac de Zoom estaban en las computadoras de los usuarios vulnerables”.
Unas semanas antes del evento Def Con, Wardle dice que Zoom emitió un parche que solucionó los errores que había descubierto inicialmente. Pero en un análisis más detallado, otro pequeño error significaba que el error aún era explotable.
En la nueva versión del instalador de actualizaciones, el paquete que se va a instalar primero se mueve a un directorio propiedad del usuario "raíz". En general, esto significa que ningún usuario que no tenga permiso de root puede agregar, eliminar o modificar archivos en este directorio. Pero debido a una sutileza de los sistemas Unix (de los cuales macOS es uno), cuando un archivo existente se mueve de otra ubicación al directorio raíz, conserva los mismos permisos de lectura y escritura que tenía anteriormente. Entonces, en este caso, aún puede ser modificado por un usuario normal. Y debido a que se puede modificar, un usuario malintencionado aún puede intercambiar el contenido de ese archivo con un archivo de su elección y usarlo para convertirse en root.
Si bien este error está actualmente en vivo en Zoom, Wardle dice que es muy fácil de solucionar y que espera que hablar de ello públicamente "engrasará las ruedas" para que la compañía se ocupe de él más temprano que tarde.
En una declaración a The Verge , Matt Nagel, líder de relaciones públicas de seguridad y privacidad de Zoom, dijo: “Somos conscientes de la vulnerabilidad recientemente informada en el actualizador automático de Zoom para macOS y estamos trabajando diligentemente para solucionarlo”.