Исследователи утверждают, что уязвимость в системе безопасности Zoom может раскрыть ваши учетные данные для входа в Windows


Zoom, создатель популярного программного обеспечения для видеоконференций с таким же названием, внезапно оказывается в центре внимания, хотя и не только потому, что из-за вспышки коронавируса больше людей, чем когда-либо, работают из дома. После разногласий по поводу политики сбора данных (за которую Zoom извинилась ) исследователи безопасности предупреждают о потенциально серьезной уязвимости в версии программного обеспечения для Windows.
Через клиент Zoom пользователи могут отправлять и получать текстовые сообщения через встроенный интерфейс чата. Если пользователь пытается отправить URL-адрес, он преобразуется в интерактивную гиперссылку, чтобы другие пользователи в чате могли быстро перейти на любую страницу, которую обслуживает отправитель. Это довольно стандартная функция. Так в чем проблема?
Исследователи безопасности в Твиттере рассказали, как клиент Zoom также преобразует сетевые UNC-пути Windows в интерактивные ссылки. Почему это важно? Чтобы продемонстрировать проблему, пользователь Твиттера @_g0dmode поделился снимком экрана, на котором обычный URL-адрес и путь UNC к файлу \\evil.server.com\images\cat.jpg конвертируются в кликабельные ссылки.
Проблема возникает, если пользователь щелкает ссылку пути UNC. В этот момент Windows попытается подключиться к удаленному сайту, используя протокол общего доступа к файлам SMB, чтобы открыть файл cat.jpg (в этом примере), а также отправит имя пользователя и хэш пароля NTLM. Существует ряд доступных бесплатных инструментов, которые можно использовать для просмотра фактического пароля.
BleepingComputer заявила, что смогла проверить уязвимость в системе безопасности. То же самое касается исследователей безопасности Мэтью Хики (@HackerFantastic в Твиттере).
«Здравствуйте, @zoom_US и @NCSC. Вот пример использования клиента Zoom для Windows с использованием внедрения пути UNC для раскрытия учетных данных для использования в атаках SMBRelay. На снимке экрана ниже показан пример ссылки на путь UNC и раскрытые учетные данные (отредактировано). «, — констатирует Хикки.
Зум-атака
Источник: Мэтью Хики.

Хотя расшифровка паролей может показаться сложной задачей, сегодняшнее оборудование в некоторых случаях может выполнить эту задачу за считанные секунды. И не только пароли в опасности. По словам Хики, UNC-инъекции могут запускать программы на локальном компьютере, когда кто-то щелкает ссылку, хотя и с предупреждением безопасности от Windows.
«Zoom не должен отображать пути UNC, поскольку гиперссылки — это исправление, я уведомил Zoom, поскольку я раскрыл это в Twitter», — сказал Хикки BleepingComputer .
Для тех, кто не хочет ждать исправления, есть обходной путь групповой политики. Нажмите на ссылку в поле Via ниже, чтобы получить инструкции по настройке групповой политики, чтобы предотвратить отправку учетных данных NTLM на удаленные серверы.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал