В клієнті Zoom для Windows виявлена уразливість, експлуатація якої дозволяє впроваджувати UNC-шляхи в функцію чату з метою викрадення облікових даних користувачів Windows.
Про це пише Ars Technica.
Користувачі Zoom можуть спілкуватися один з одним, відправляючи текстові повідомлення через інтерфейс чату. Під час відправки повідомлень всі URL-адреси перетворюються на гіперпосилання, дозволяючи іншим учасникам натиснути на них і перейти на web-сторінку.
Проблема полягає в тому, що Zoom перетворює мережеві UNC-шляхи Windows в інтерактивні посилання в повідомленнях чату. Як тільки користувач натисне на посилання UNC-шляху, Windows спробує підключитися до сайту, використовуючи мережевий протокол SMB з метою відкрити віддалений файл. При цьому Windows за замовчуванням відправляє логін і хеш-пароль NTLM, які можна зламати за допомогою безкоштовних інструментів, таких як Hashcat, і розкрити пароль користувача.
Дослідник безпеки Метью Хіккі (Matthew Hickey) протестував UNC-ін’єкцію в Zoom і зміг перехопити хеші паролів NTLM, відправлені на сервер посилання.
Hi @zoom_us & @NCSC – here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— hackerfantastic.x (@hackerfantastic) March 31, 2020
На додаток до крадіжки облікових даних Windows, ін’єкції UNC також можна використовувати для запуску програм на локальному комп’ютері при натисканні на посилання. Зловмисник може використовувати шлях пристрою дискової операційної системи для запуску програми без запиту користувача.
Компанія Zoom в даний час працює над виправленням даної проблеми.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Зверніть увагу, що розробники ПЗ для конференц-зв’язку Zoom випустили оновлення для iOS-версії свого додатка після того, як стало відомо, що він передає деякі дані користувачів у Facebook.
Нагадаємо, невідомі зловмисники зламали кілька десятків YouTube-каналів, перейменували їх з використанням різних брендів Microsoft і “запустили живу” трансляцію нібито від імені Білла Гейтса.
Також внаслідок перевантаження інформацією та ізоляцію через Covid-19, користування програмами обміну повідомленнями значно зросло. Жодна платформа не відчула це на собі так, як WhatsApp – використання збільшилось понад 40% у всьому світі.
Окрім цього, двох хакерів – 26-ти та 20-ти років – викрили у розповсюдженні шкідливого програмного забезпечення. За допомогою вірусу вони отримували логіни та паролі до різних систем інтернет-банкінгу, екаунтів соціальних мереж, електронних скриньок своїх жертв.
До речі, фахівці великих компаній повідомляють, що гостра респіраторна хвороба COVID-19 значно вплинула на кожну технологічну галузь.. На щастя, у світі є організації свідомих людей, які об’єдналися разом, щоб допомогти людству у боротьбі з епідемією.
