Zoom novamente com 4 novas vulnerabilidades ALTA
O aplicativo de videoconferência Zoom, amplamente utilizado no mundo corporativo e na educação, liberou uma atualização emergencial em janeiro de 2023 para corrigir quatro vulnerabilidades de segurança classificadas como de alta severidade. As falhas afetam o cliente Zoom para desktop (Windows, macOS e Linux), aplicativo móvel (iOS e Android) e servidores de conferência. Recomenda-se que todos os usuários atualizem seus aplicativos o mais rápido possível para evitar possíveis explorações que podem comprometer a confidencialidade e integridade dos dados.
Detalhes das vulnerabilidades
De acordo com o comunicado oficial da Zoom, as quatro falhas foram identificadas por pesquisadores externos e reportadas através do programa de bug bounty da empresa. As vulnerabilidades receberam classificação de alta gravidade na escala CVSS e abrangem diferentes componentes do ecossistema Zoom.
- Falha de validação de entrada (Alta): Uma vulnerabilidade no processamento de mensagens permite que um invasor remoto execute código arbitrário no sistema alvo. O problema reside na forma como o cliente Zoom lida com certos tipos de pacotes de rede, podendo ser explorado por meio de uma requisição especialmente criada, sem necessidade de interação do usuário.
- Uso após liberação (use-after-free) no áudio: Um problema no gerenciamento de memória durante a reprodução de áudio pode ser explorado para executar código malicioso. Esta falha pode ser desencadeada ao enviar um áudio manipulado para o usuário, resultando em potencial execução de código no contexto do aplicativo.
- Estouro de buffer no componente de chat: Uma vulnerabilidade no componente de chat pode levar à elevação de privilégios locais, permitindo que um atacante obtenha maior controle sobre o dispositivo. A exploração exige que o usuário interaja com uma mensagem específica no chat, mas pode permitir que o invasor execute código com privilégios elevados.
- Falha de lógica de autenticação: Uma brecha no mecanismo de verificação de sessões possibilita que um invasor ignore restrições de acesso e obtenha informações confidenciais. Este problema afeta especialmente o Zoom Meeting Server, podendo permitir acesso não autorizado a reuniões e dados de usuários.
Cada uma dessas falhas foi classificada como "Alta" na escala de gravidade adotada pela Zoom, indicando a necessidade de correção imediata. A empresa não divulgou detalhes técnicos completos para evitar exploração prematura, mas liberou as correções em todas as plataformas no mesmo boletim.
Impacto potencial
O impacto potencial dessas vulnerabilidades é amplo. Um invasor que consiga explorar uma delas pode obter controle total do sistema da vítima, dependendo do vetor. Por exemplo, a falha de validação de entrada pode permitir execução remota de código sem necessidade de interação do usuário, enquanto a falha de lógica de autenticação pode expor dados de reuniões e usuários. Dado que o Zoom é utilizado em ambientes corporativos, educacionais e governamentais, uma exploração bem-sucedida poderia ter consequências graves para a privacidade e a segurança da informação. Um atacante poderia assumir o controle do dispositivo da vítima, acessar conversas privadas, instalar malware ou até mesmo mover-se lateralmente dentro de uma rede corporativa.
Atualizações e mitigação
A Zoom disponibilizou as seguintes versões corrigidas: Zoom Desktop Client para Windows, macOS e Linux versão 5.13.10 ou superior; Zoom Mobile App para iOS e Android versão 5.13.10; Zoom VDI Client versão 5.13.10. Os usuários podem atualizar manualmente através do menu "Verificar atualizações" no aplicativo, ou baixar diretamente do site oficial. Recomenda-se também ativar as atualizações automáticas para receber futuras correções rapidamente.
Para administradores de TI, é essencial testar e implantar as correções rapidamente, priorizando sistemas críticos. Além disso, reforçar as configurações de segurança, como habilitar salas de espera, criptografia de ponta a ponta e autenticação de dois fatores, reduz a superfície de ataque. Manter o software atualizado é a medida mais eficaz contra ameaças conhecidas.
Perguntas frequentes (FAQ)
Como atualizar o Zoom?
Abra o aplicativo Zoom, clique no ícone do seu perfil no canto superior direito e selecione "Verificar atualizações". Siga as instruções para baixar e instalar a versão mais recente. Alternativamente, faça o download diretamente do site zoom.us.
Preciso pagar para receber a atualização de segurança?
Não. As atualizações de segurança são gratuitas para todos os usuários, independentemente do plano (gratuito ou pago).
Quais versões do Zoom são afetadas?
As versões anteriores à 5.13.10 em todas as plataformas (desktop, mobile e VDI) estão vulneráveis. Verifique a versão do seu aplicativo nas configurações.
Essas vulnerabilidades já foram exploradas ativamente?
Não há evidências públicas de exploração ativa até o momento da divulgação. As correções foram liberadas como medida preventiva, com base em relatórios de pesquisadores de segurança.
As vulnerabilidades afetam o uso do Zoom pelo navegador?
Embora o principal vetor de ataque sejam os aplicativos desktop e mobile, algumas falhas podem impactar o uso via web. A recomendação é manter todos os clientes atualizados, incluindo qualquer plugin ou extensão.
Como saber se minha versão do Zoom está vulnerável?
Abra o Zoom, vá em "Configurações" > "Sobre" e veja o número da versão. Se for anterior à 5.13.10, atualize imediatamente.
O que fazer se suspeitar que meu sistema foi comprometido?
Caso suspeite de atividade maliciosa relacionada a essas vulnerabilidades, isole o sistema imediatamente, execute uma varredura com software antivírus atualizado e entre em contato com a equipe de segurança da sua organização. Recomenda-se também redefinir senhas e habilitar autenticação multifator.
Conclusão
A segurança de aplicações de comunicação remota é crucial para a proteção de dados corporativos e pessoais. A resposta rápida da Zoom ao corrigir essas vulnerabilidades demonstra seu compromisso com a segurança dos usuários. No entanto, a responsabilidade não é apenas da empresa; cada usuário deve manter seus softwares atualizados e seguir boas práticas de segurança digital. A cibersegurança é um esforço contínuo e a atualização regular é a primeira linha de defesa. Continue acompanhando o 13SEC NEWS para mais informações sobre vulnerabilidades, ataques e tendências em segurança cibernética.