Los equipos de Microsoft y el zoom pueden ser secuestrados para dar a los hackers las llaves de tu reino
- Los expertos dicen que los equipos de Microsoft y el zoom son perfectos para ocultar llamadas fantasmas
- Los atacantes pueden obtener credenciales de giro temporales y crear un túnel
- Los proveedores deben implementar salvaguardas, porque no hay vulnerabilidades a la vista
Investigadores de Pretoriano Han arrojado la luz sobre las llamadas de fantasmas, una técnica de evasión de comando y control posterior a la explotación que envía tráfico de atacantes a través de un recorrido legítimo utilizando relés alrededor de los servidores NAT (Turn) utilizados por los gustos de Zoom y Microsoft Equipos, para evadir la detección.
El ataque funciona secuestrando las credenciales de giro temporales que reciben las llamadas de conferencia cuando se unen a una reunión, y luego estableciendo un túnel entre el host comprometido y la máquina del atacante.
Debido a que todo el tráfico se enruta a través de IPS y dominios de zoom/equipos de confianza, que generalmente se relacionan con la lista blanca dentro de las empresas, este tipo de ataques de secuestro pueden volar bajo el radar.
Equipos y zoom susceptibles a ataques
Praetorian explicó que debido a que el ataque aprovecha la infraestructura ya permitida a través del firewall corporativo, los proxies S y la inspección de TLS, las llamadas de fantasmas pueden evadir fácilmente las defensas tradicionales.
Combinar el tráfico con los patrones de tráfico normales y de baja latencia también ayuda a los cibercriminales, que pueden eliminar la exposición de dominios y servidores controlados por atacantes
Praetorian explica en el primero de sus dos publicaciones de blog eso plataformas de videoconferencia “Están diseñados para funcionar incluso en entornos con controles de salida relativamente estrictos”, por lo que si un atacante puede romper en estos sistemas, podría tener mayores posibilidades de exfiltración de datos.
“Además, este tráfico a menudo está encriptado de extremo a extremo utilizando AES u otro cifrado fuerte. Esto significa que el tráfico está naturalmente muy ofuscado e imposible de analizar en profundidad, lo que lo convierte en un lugar perfecto para esconderse como atacante”, agregaron los investigadores.
Las credenciales de giro generalmente caducan después de dos o tres días, por lo que los túneles son de corta duración, pero alarmantemente, Praetorian explica que no necesariamente hay una vulnerabilidad para que los proveedores parcheen, y agregan que deben centrarse en introducir más salvaguardas para evitar ataques de llamadas fantasmas.
