„Windows 10“ įspėjimas: „Zoom“ klientas gali nutekėti jūsų prisijungimo prie tinklo kredencialus

Ant kulnų „Zoom“ „iPhone“ privatumo klaida, saugumo tyrinėtojas nustatė, kad užpuolikai gali naudoti „Zoom Windows“ kliento grupės pokalbių funkciją, kad bendrintų nuorodas, kurios nutekės visų jas spustelėjusių „Windows“ tinklo kredencialus.

Mastelio keitimas yra papildomai tikrinamas, nes vaizdo konferencijų programos naudojimas išaugo koronaviruso COVID-19 protrūkis.

Grupės pokalbių funkcija leidžia vartotojams siųsti pranešimus kitiems susitikimo dalyviams ir konvertuoti URL į hipersaitus, kad gavėjas galėtų atidaryti tinklalapį naršyklėje.

Bet kaip „BleepingComputer“ praneša, „Zoom“ klientas ne tik konvertuoja įprastus URL į spustelėjamą nuorodą, bet ir „Windows“ tinklą Visuotinės pavadinimo konvencijos (UNC) keliai.

MATYTI: 10 patarimų naujiems kibernetinio saugumo profesionalams (nemokamas PDF)

UNC naudojamas tinklo išteklių, pvz., failo, kuris gali būti priglobtas užpuoliko valdomame SMB (serverio pranešimų bloko) serveryje, vietai nurodyti.

Kai kas nors spusteli UNC kelio nuorodą, „Windows“ bando prisijungti prie nuotolinės svetainės naudodama SMB tinklo failų bendrinimo protokolą. Ir pagal numatytuosius nustatymus „Windows“ siunčia vartotojo prisijungimo vardą ir „NT Lan Manager“ (NTLM) kredencialų maišą.

Be to, kai užmezgamas SMB ryšys, gali nutekėti kliento IP adresas, domeno pavadinimas, vartotojo vardas ir pagrindinio kompiuterio pavadinimas.

Nors maišos nėra paprasto teksto, tikrai blogas slaptažodis gali būti greitai nulaužtas per kelias sekundes kompiuteriu su vidutiniu GPU naudojant tokius įrankius kaip „John the Ripper“ slaptažodžių šifravimo priemonė.

Klaidą aptiko saugumo tyrinėtojas @_g0dmode. JK saugumo tyrinėtojas Matthew Hickey įrodė, kad UNC pataisų įpurškimo problema, paveikianti „Zoom“ klientą, gali būti naudojama kredencialams nutekėti, kad būtų galima naudoti vėlesnėse SMB Relay atakose. Jis taip pat rado UNC kelio nuorodą gali būti naudojamas paleisti vykdomąjį failą, nors „Windows“ parodys įspėjimą.

Hickey sako, kad „Zoom“ pataisymas neturėtų apimti UNC kelių kaip hipersaitų.

MATYTI: Koronavirusas: verslas ir technologijos pandemijoje

„Zoom“ sakė „ZDNet“, kad pirmiausia užtikrina vartotojų ir jų duomenų privatumą ir saugumą.

„Mes žinome apie UNC problemą ir stengiamės ją išspręsti“, – sakė „Zoom“ atstovas.

Microsoft instrukcijos, kaip apriboti išeinantį NTLM srautą į nuotolinius serverius gali būti įdiegta, kad būtų išvengta UNC nuorodų atakų, kol Zoom nepateiks pataisymo.