Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red.
Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, interacciones/reuniones sociales y más. Ofrece pantalla compartida, grabación de reuniones, fondos personalizados, chat durante la reunión y varias funciones centradas en la productividad.
La popularidad del software aumentó durante la pandemia de COVID-19, cuando muchas organizaciones recurrieron a soluciones remotas para mantener las operaciones y la continuidad del negocio. En abril de 2020, alcanzó un máximo de 300 millones de participantes en reuniones diarias.
La falla recientemente revelada se rastrea como CVE-2024-24691 y fue descubierta por el equipo de seguridad ofensivo de Zoom, recibiendo una puntuación CVSS v3.1 de 9,6, calificándola de “crítica”.
La vulnerabilidad afecta a las siguientes versiones del producto:
- Cliente de escritorio Zoom para Windows anterior a la versión 5.16.5
- Cliente Zoom VDI para Windows anterior a la versión 5.16.10 (excepto 5.14.14 y 5.15.12)
- Cliente de Zoom Rooms para Windows anterior a la versión 5.17.0
- SDK de Zoom Meeting para Windows anterior a la versión 5.16.5
La breve descripción de la falla no especifica cómo podría explotarse ni cuáles podrían ser las repercusiones, pero el vector CVSS indica que requiere cierta interacción del usuario.
Esto podría implicar hacer clic en un enlace, abrir un archivo adjunto a un mensaje o realizar alguna otra acción que el atacante podría aprovechar para explotar CVE-2024-24691.
Para la mayoría de las personas, Zoom debería solicitar automáticamente a los usuarios que actualicen a la última versión. Sin embargo, puede descargar e instalar manualmente la última versión del cliente de escritorio para Windows, versión 5.17.7, desde aquí .
Además de la falla de validación de entrada incorrecta, la última versión de Zoom también aborda las siguientes seis vulnerabilidades:
- CVE-2024-24697: Un problema de alta gravedad en los clientes Zoom de Windows de 32 bits permite la escalada de privilegios a través del acceso local al explotar una ruta de búsqueda que no es de confianza.
- CVE-2024-24696: Una vulnerabilidad de chat durante una reunión en clientes Zoom Windows causada por una validación de entrada incorrecta permite la divulgación de información a través de la red.
- CVE-2024-24695: similar a CVE-2024-24696, la validación de entrada incorrecta en los clientes Zoom Windows permite la divulgación de información a través de la red.
- CVE-2024-24699: Un error de lógica empresarial en la función de chat durante la reunión de Zoom puede provocar la divulgación de información a través de la red.
- CVE-2024-24690: La vulnerabilidad en algunos clientes de Zoom causada por una validación de entrada incorrecta puede provocar una denegación de servicio en la red.
- CVE-2024-24698: una falla de autenticación incorrecta en algunos clientes de Zoom permite la divulgación de información a través del acceso local por parte de usuarios privilegiados.
Los usuarios de Zoom deben aplicar la actualización de seguridad lo antes posible para mitigar la probabilidad de que actores externos eleven sus privilegios a un nivel que les permita robar datos confidenciales, interrumpir o espiar reuniones e instalar puertas traseras.