Zoom может привести к утечке информации для входа в сеть Windows 10. Программное обеспечение для видеосвязи Zoom столкнулось с кризисом в сфере безопасности и конфиденциальности. После того, как мы узнали, что они передают информацию третьим сторонам, таким как Facebook, и не используют сквозное шифрование на рынке.
Специалист по безопасности с ником @ _g0dmode в Twitter понял, что когда URL-адрес чата Zoom был передан в групповом чате, он также может привести к утечке сетевых учетных данных в URL-адресе.
Это связано с тем, что Zoom не только преобразует URL-адрес в интерактивную ссылку, но также добавляет пути универсального соглашения об именах (UNC), которые Windows использует для сети.
UNC используется для поиска сетевого ресурса. При этом заметном недостатке можно авторизоваться на SMB-сервере, управляемом злоумышленниками. И когда кто-то щелкает, учетные данные, используемые для входа в сеть, могут быть видны злоумышленнику. Потому что по умолчанию Windows может отправлять имя пользователя и хэш идентификатора NT LAN Manager (NTLM).
# Zoom chat позволяет вам публиковать ссылки, такие как xxxxxyz, чтобы попытаться захватить хэши Net-NTLM, если по ним щелкнули другие пользователи.
– Митч (@ _g0dmode) 23 марта 2020 г.
Кроме того, когда SMB-соединение устанавливается с помощью этого метода, также можно увидеть IP-адрес, имя домена, имя пользователя и имя клиента подключенного лица.
Хэш идентификатора – это зашифрованная версия учетных данных, которая не отправляется в виде обычного текста. Однако слабые пароли можно взломать за несколько секунд с помощью такого программного обеспечения, как взломщик паролей John The Ripper, за пару секунд со средним графическим процессором.
дорогая @zoom_us & @NCSC – Хорошо, что быстро обострилось…. Благодаря @AppSecBloke & @SeanWrightSec за то, что позволили мне использовать их собрание Zoom для тестирования. Вы можете использовать внедрение пути UNC для запуска произвольного кода, однако Windows предупреждает вас с помощью окна предупреждения. pic.twitter.com/aakSK1ohcL
– Фантастический хакер (@hackerfantastic) 1 апреля 2020 г.
Специалист по безопасности Мэттью Хики Показано, что атаки SMB Relay могут выполняться также с проблемой внедрения пути UNC. Он обнаружил, что эту ошибку также можно использовать для удаленного выполнения файлов через UNC. Однако в этом случае Windows отображает предупреждение.
По словам Хикки, решение Zoom не должно заключаться в том, чтобы не включать UNC-пути в веб-ссылки. Zoom пока не делал заявлений по этому поводу.
Microsoft объясняет какие сделать против уязвимости зум-сети в документ вы можете найти здесь .
Лучшее безопасное и зашифрованное программное обеспечение для видеоконференций