#产业气象站#近期Zoom安全问题频繁进入安全圈的视野
【#产业气象站#近期Zoom安全问题频繁进入安全圈的视野】
文章图片
文章图片
研究人员发现Zoomwindows客户端的客户端聊天特征中存在UNC路径注入漏洞 , 攻击者利用该漏洞可以点击该链接的用户的Windows凭证 。
当使用Zoom客户端时 , 会议参与者可以通过聊天接口发送文本消息来与其他参与者通信 。
在发送聊天消息时 , URL都会转为超链接 , 因此其他参会者点击链接后就会在默认浏览器中打开一个web页面 。
安全研究人员@_g0dmode发现Zoom客户端会将聊天消息中的Windows网络UNC路径转为可点击的链接 。
文章图片
Zoom聊天UNC注入
从上面的聊天消息中可以看到 , 聊天消息中普通的URL和UNC路径evil.server.comimagescat.jpg都会转为可点击的链接 。
UNC路径转为可点击的链接后会带来什么不好的影响呢?如果用户点击UNC路径链接 , Windows就会尝试使用SMB文件共享协议连接到远程站点来打开一个远程文件——cat.jpg 。
默认情况下 , Windows会发送用户的login用户名和NTLMpassword哈希值 , 通过免费的工具Hashcat就可以破解NTLMpassword哈希值对应的密码 。
安全研究人员MatthewHickey(@HackerFantastic)测试了Zoom客户端的UNC注入 , 发现确实可以获取NTLMpassword哈希值 。 BleepingComputer也在本地测试验证了该结果 。
文章图片
获取NTLMpassword哈希值
使用Hashcat这样的程序在我们日常使用的计算机上用哈希值破解密码只需要16秒钟 。
文章图片
hashcat
除了窃取Windows凭证后 , Hickey告诉BleepingComputer称 , UNC注入还可以在点击链接时启动本地计算机上的程序 。 比如 , 点击127.0.0.1C$windowssystem32calc.exe这样的UNC路径就可以启动计算机上安装的计算器 。 幸好 , Windows会弹窗询问用户是否要执行程序 。
文章图片
点击UNC路径启动本地程序
为修复该漏洞 , Zoom需要避免聊天系统将UNC路径转为可点击的超链接 。 Hickey称在twitter上公布漏洞后就通知了Zoom 。 BleepingComputer也连续了Zoom但尚未得到回复 。
预防NTLM凭证发送给远程服务器
在Zoom发布补丁之前 , 有一个方法预防该漏洞 , 那就是通过组策略设置来预防UNC链接被点击后NTML凭证自动发送给远程服务器 。 该策略为"Networksecurity:RestrictNTLM:OutgoingNTLMtraffictoremoteservers" 。
推荐阅读
- 『工人在护理』广西东兰:产业园长出“脱贫菌”
- 昌乐融媒昌乐鄌郚镇:特色产业鼓起村民“钱袋子”
- 海陆重工:4只业绩为正且连续两年增长的ST股(名单)其一近期或将重整成功
- 中国电子报智能传感器能占多大市场?,30万亿元智慧养老产业
- 长沙晚报打造“中国软件开发者产业中心城市”,长沙携手CSDN
- 中国电子报30万亿元智慧养老产业,智能传感器能占多大市场?
- 前瞻网前瞻电动汽车产业全球周报第63期:不留活路!特斯拉降价+增产“组合拳”发力中国市场
- 【澧县官垸镇】央视新闻丨湖南常德:村有增收产业 户有致富门路
- 【房地产业】云南:推进城市更新,加快城镇化进程
- 『限公司销售』湖南这18批次食品不合格!有你买过的吗?