Solucionada vulnerabilidad de enumeración de usuarios en ZOOM

El día de hoy recibimos información de que TALOSINTELLIGENCE realizó un disclosure sobre la vulnerabilidad «TALOS-2020-1052 — Zoom Communications registered user enumeration» la cual ya fue solucionada por zoom.

«As of the publication of this blog the issue appears to be patched. Since this is a cloud-side vulnerability there is no action required from users or administrators as the issue resided in Zoom’s infrastructure.»

https://blog.talosintelligence.com/2020/04/zoom-user-enumeration.html

Esta vulnerabilidad consistía en que era posible aprovechar el estándard XMPP que utiliza zoom para solicitar listas de contactos de dominios registrados en zoom.

Esta lista arrojaba los identificadores de usuarios utilizados en zoom y, realizándose consultas adicionales a zoom se podría obtener información presente en la vCard de los usuarios, ej: teléfonos, nombres, correos electrónicos de los usuarios de una organización registrada en zoom.

Talos pudo verificar que esta vulnerabilidad estaba presente el 9 de Abril. A la fecha de la distribución pública de esta información (Abril 21) indicaron que ya no estaba presente.

Para mayor información, consultar:

https://blog.talosintelligence.com/2020/04/zoom-user-enumeration.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.