logo

CybergON Blog

Advancing the State of Cybersecurity.

Le piattaforme di videoconference come vettore di attacco

E’ il 2003. Sta entrando nel mercato uno dei tool più popolari di sempre, che darà poi via ad una adozione graduale di strumenti per videochiamate in tutto il mondo: Skype.

videoconference-vettore-attacco

Nel 2020 strumenti di collaboration e videoconference sono all’ordine del giorno per chi lavora in ambienti non strettamente produttivi. Da Marzo 2020 in particolare, quando il mondo ha improvvisamente scoperto le potenzialità del digitale, inizia una corsa a prendere confidenza con diversi strumenti: Zoom, Microsoft Teams, Google Meet, Webex Meetings, ecc. Da un’indagine Statista il 59% delle aziende non ne aveva mai usufruito. Questo fenomeno, in breve, assume dimensioni tali da suscitare l’attenzione di tutti.

videoconference-platform-usage

Con in testa l’obiettivo di far funzionare le comunicazioni da remoto, molte aziende hanno sottovalutato il cambio di paradigma della security. Fino ad allora erano ragionevolmente protette dai loro firewall e da connessioni iniziate e terminate in ambienti di fiducia. I castelli medioevali hanno dovuto aprire le porte al commercio dell’era moderna e, in breve, hanno scoperto che quelle mura, loro baluardo per secoli, sono diventate inutili.

Nel momento in cui si estende la propria infrastruttura e il perimetro aziendale perde di significato, senza un’adeguata strategia di rilevazione e risposta delle minacce, i rischi sono svariati. Anche la stampa specializzata, attirata dal catastrofismo degli attacchi ransomware, non sta divulgando la moltitudine di pericoli in grado di compromettere l’operatività delle aziende.

Tutti i servizi devono essere oggetto di attenzione, comprese le piattaforme di collaborazione e videoconferenza.

Zoom in particolare ha subito un boost notevole, diventando uno dei principali tool utilizzati in Italia con più di 170.000 Daily Active Users nel mese di marzo e una crescita in borsa impressionante.

zoom-daily-users

Non è stato solo l’utilizzo diffuso ad aver dato notorietà a questa piattaforma. Zoom ha fatto parlare di sé anche per il numero e le tipologie di vulnerabilità.

Vulnerabilità e rischi

Il problema più noto è stato il cosiddetto Zoom Bombing, il fenomeno per cui persone non autorizzate riuscivano a intrufolarsi nelle videoconferenze altrui. Tecnicamente si parla di attacco brute-force. E’ stato anche il tweet di Boris Johnson, con meeting ID e nomi dei ministri coinvolti esposti a destare preoccupazione per questa misconfiguration di Zoom, per cui bastava avere il codice della riunione a nove cifre per entrare in una sala virtuale e fare potenzialmente ciò che si volesse.

Gli impatti di un attacco come questo potrebbero variare dal furto di credenziali, all’accesso nei sistemi aziendali all’invio di contenuti e link malevoli.

zoom-id-meeting-boris-johnson

Non solo: durante l’arco di quest’anno sono state scoperte 6 vulnerabilità di Zoom di cui una RCE di livello critico sul client Windows, vulnerabilità simile a quella scoperta nel 2019 per il client MacOS.

Quest’ultima ha ricevuto aggiornamento solo a distanza di 4 giorni dalla scoperta, la causa di questo ritardo dalla zero-day è da ricondurre al team di sviluppo di Zoom che non si è preoccupato di ascoltare i ricercatori che avevano segnalato il problema per tempo. Troppo presi con le nuove funzionalità. Sfruttando questa vulnerabilità un Bad Actor può eseguire codice a privilegio utente su un client che sta effettuando una chiamata. (Ref: https://threatpost.com/unpatched-zoom-bug-rce/157317/)

Diversi attacchi sono andati a buon fine: solo ad aprile sono stati pubblicati nel darkweb username e password di ben 2300 account Zoom.

Nemmeno Microsoft è esente dalla bellezza dell’imperfezione del codice.

La vulnerabilità che ha portato agli FCM Messages di Microsoft Teams è da ricondurre all’uso da parte degli sviluppatori Microsoft del framework Firebase Cloud Messaging per l’invio delle notifiche su device android. Questa vulnerabilità è stata scoperta dapprima attraverso la challenge #AdroidHackingMonth tenutasi a luglio e segnalata il 4 dello stesso mese. Google non ha dato peso ha questa vulenerabilità finché non è stata sfruttata “in the wild” prima con degli exploit di Hangouts e poi con Microsoft Teams. (Ref: https://abss.me/posts/fcm-takeover/)

microsoft-teams-vulnerability

Questo genere di vulnerabilità hanno le carte in regola per portare ad attacchi mirati e studiati per sfruttare proprio quelle falle di sistema. Esistono migliaia di vulnerabilità come queste: ogni individuo, utilizzando questi strumenti rappresenta un obiettivo. La consapevolezza del rischio da parte sua e dell’organizzazione rappresenta il primo meccanismo di difesa contro i potenziali attacchi informatici, in caso contrario, invece, si trasforma nella vulnerabilità più fragile.

Il Cyber crime agisce come un’industria: quando scorge un’opportunità non tarda a coglierla. Milioni di utenti che scaricano ed iniziano ad usare nuove piattaforme, sono senza ombra di dubbio una grande opportunità.

È semplice comprendere perché sia importante proteggere le videocall da intrusioni esterne: dai contenuti sensibili di cui si discute, alle presentazioni condivise, alle immagini di casa. Un po’ più complesso sapere che, prima o poi, capiterà a tutti se non si investe nelle tecnologie e nelle competenze necessarie per proteggersi.

speed-date

Elmec Informatica utilizza cookie tecnici e cookie analitici anonimizzati. Per maggiori informazioni leggi la cookie policy. Chiudendo questo banner o continuando la navigazione sul sito acconsenti all’utilizzo dei cookie.