Windows 版 Zoom 的使用者请注意!安全研究人员指出,就在 Zoom 使用者最近饱受“Zoom-Bombing”恶作剧不堪图片轰炸的攻击之际,这个原本在疫情期间被赋予重望的热门云端视讯会议软件,又再度发现另一个安全漏洞,恶意攻击者可以透过这个漏洞窃取使用者的 Windows 操作系统凭证。
在 Zoom 使用量随着新冠病毒疫情大流行而激增的同时,发现了这个当前仍未修补的漏洞。随着愈来愈多的人居家工作,不少人开始依赖 Zoom 来与同事、顾客及合作伙伴连系。许多这类居家使用者透过暂时性或随意凑合的方式,连线到具商业敏感性的工作网络上,最令人担心的,莫过于这些方式无法获得企业级防火墙的安全防护。
点击恶意连结凭证会自动外送
该攻击是透过 Zoom 聊天视窗而向锁定目标发送一组代表他们所使用 Windows 装置之网络位置的纯文字串。这个 Windows 版 Zoom 应用程序会自动将这些所谓的“通用命名惯例”(Universal Naming Convention)字串(例如 \\ attacker.example.com/C$)转换为可点击的连结。如果被锁定使用者点击了这些尚未完全锁定的网络连结,Zoom 会将 Windows 使用者名称和相应的 NTLM 杂凑发送到包含在连结中的位址上。
然后攻击者便可透过凭证存取共享网络资源,例如 Outlook 服务器和储存装置。通常,在对某装置进行身份验证时,Windows 网络上的资源将接受 NTLM 杂凑值。这使得网络很容易受到所谓“传递杂凑”(Pass-the-Hash)攻击,这类攻击不需要借助破解技术就能将杂凑值转换为相应的纯文字明码。
“这的确是 Zoom 的一大安全缺陷,”安全方案商 Hacker House 联合创办人 Matthew Hickey 指出:“这原本是一个毫不起眼的小瑕疵。现在,随着愈来愈多的人居家工作,益使得运用该漏洞的攻击之举变得更加容易。”
上周,一名安全研究人员在 Twitter 上以 @ _g0dmode 做为 Twitter handle 而首次介绍了这个漏洞。他写道:“#Zoom 聊天软件允许你张贴像 \\ x.x.x.x \ xyz 之类的连结,一旦被其他使用者点击,就会尝试撷取 Net-NTLM 杂凑。”
3 月 31 日,Hickey 更进一步详述了这个发现。他在一则推文中展示了 Zoom Windows 用户端如何泄漏可用来存取有限部分 Windows 网络的凭证。
“嗨 @zoom_us &@NCSC,”Hickey 回复写道:“以下是一个使用 UNC 路径注入来运用 Zoom Windows 用户端漏洞以泄漏用于 SMBRelay 攻击中凭证的范例。以下所屏幕撷图显示了一个范例 UNC 路径连结和被泄漏(经修改)的凭证。”
Hi @zoom_us & @NCSC – here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— Hacker Fantastic (@hackerfantastic) March 31, 2020
这个屏幕撷图显示 Windows 使用者名称为 Bluemoon/HackerFantastic。随后在其下出现了 NTLM 杂凑,尽管 Hickey 在他所张贴的图像中修改了大部分的杂凑。
骇客会搭配 Zoom-Bombing 攻击
攻击者可以冒充合法与会者来发动攻击,也可以在所谓“Zoom-Bombing”攻击中趁乱窃取 Window 凭证,透过这样的手法,攻击者可以进入没有密码保护的线上会议中,然后用攻击性或骚扰性的恶意图片来轰炸其他人。
虽然这种攻击只针对 Windows 使用者,但 Hickey 表示,事实上仍可透过任何版本的 Zoom 来发动攻击,其同样的是透过向目标攻击对象发送一则内含 UNC 位置之纯文字讯息的手法。当 Windows 用户在连接到某些不安全机器或网络的同时点击了该连结,Zoom 应用程序会经由 445 连接埠向外发送凭证,该连接埠多半用来传输与 Windows SMB 和 Active Directory(AD)目录服务相关的流量。
如果关闭了 445 连接埠对互联网的开放(不是透过装置或网络防火墙,就是透过 ISP 网络服务供应商来加以封锁),那么骇客就无法发动这样的攻击。但是,如此一来也会将 Zoom 服务关闭,所以企业不见得会关闭 445 连接埠。过去一个月愈演愈烈的疫情大流行趋势,让数以百万计的居家工作者失去了他们原本在工作场合所能获得之相同水准的 IT 与安全支援。这使得 445 连接埠很有可能处于开放状态,其可能是因为疏忽,也可能是基于连接企业资源的需要而开放的。
- Attackers can use Zoom to steal users’ Windows credentials with no warning
(首图来源:影片截图)
