Videoconferenze e Vulnerabilità: i casi Zoom e Microsoft Teams

Lo Smart Working ed il Telelavoro hanno fatto aumentare l’utilizzo di software o servizi per videoconferenze. Allo stesso modo, però, sono aumentati i tentativi di attacco e le segnalazioni di criticità di queste piattaforme, utilizzate da hacker per diffondere malware o per il furto di dati.

Andando in ordine cronologico, il primo problema segnalato è stato quello relativo a Zoom, nota piattaforma per videoconferenze, sulla quale sono state notate molte registrazioni provenienti da domini sospetti.

A tal proposito, alcuni ricercatori hanno segnalato che da questi domini venivano distribuiti file eseguibili molto pericolosi nominati zoom-us-zoom_##########.exe e microsoft-teams_V#mu#D_##########.exe, i quali avvierebbero InstallCore, un software malevolo capace di avviare l’installazione di applicazioni di terze parti e di infettare il device. Tra le tante attività di InstallCore, i vari sistemi sicurezza hanno rilevato che è capace di installare estensioni per il browser, disabilitare l’User Access Control (UAC) ed aggiungere file che si avviano in automatico.

Non è tutto, perché sono stati rilevati problemi anche sulla versione di Zoom specifica per i sistemi Windows, sulla quale sono state segnalate delle vulnerabilità nella chat che consentono di rubare le credenziali di accesso a Windows invitando a fare un clic su un link malevolo. Questa vulnerabilità non è stata immediatamente rimossa dagli sviluppatori di Zoom, ma è possibile evitarla con l’opzione Nega Tutto in Sicurezza di rete: Limita NTLM: traffico NTLM in uscita verso server remoti di Windows, mentre gli utenti della versione Home del sistema operativo dovranno utilizzarne il registro per la configurazione.

Non va meglio nemmeno alla piattaforma Teams di Microsoft, strumento per la comunicazione e la collaborazione per i gruppi di lavoro presente nella suite di Office365, sulla quale sono stati notati link e file GIF utilizzati per prendere possesso dei dati di accesso agli account. Questi attacchi possono essere veicolati sfruttando il token di accesso Web JSON e, in seconda battuta, un token Skype, che servono agli utenti Teams per la poter ricevere immagini durante le videoconferenze.

Facendo clic su questi link o queste GIF gli utenti visitano sottodomini non sicuri, verrà inviato un cookie ai server degli hacker che darà modo a quest’ultimi di creare il secondo token, quello Skype, che darà modo di rubare i dati di accesso.

Per rimediare a questo errore, Microsoft ha già distribuito un aggiornamento di sicurezza, consigliamo quindi di verificare la presenza di nuove patch disponibili e, in caso positivo, di installarle subito.

 

Fonti: 1, 2, 3