Vulnerabilidade no Zoom permite roubo de credenciais Windows
Usuários Windows que utilizam Zoom para vídeo conferencia
devem ficar atentos, a ferramenta permite que atacantes roubem as credenciais
do sistema operacional.
Ao utilizar a ferramenta, os participantes se comunicam por
vídeo e por chat. A interface do chat converte qualquer URL enviada em hyperlink,
onde os outros usuários conseguem clicar e por consequência é aberta a determinada página com browser padrão. O problema é que não se converte apenas a URL em hyperlink, mas
converte também endereçamentos locais do Windows.
Por exemplo:
Na situação em que a rede do alvo não esteja devidamente
restrita e o mesmo clica no link, é enviado o usuário de login do Windows e as hashes
do NTLM-v2 contendo a senha, onde o atacante consegue decifrar utilizando
ferramentas como hashcat. De posse das credenciais do usuário, o
atacante consegue obter acessos que estejam compartilhados na rede. Além
de obter as credenciais, o atacante também pode utilizar da
vulnerabilidade para que seja executado programas (já existentes no alvo).
Recentemente, a ferramenta tem apresentado problemas com
vulnerabilidades. O fato de atacantes "invadirem" reuniões providas pela plataforma, por meio de vulnerabilidades que ainda não foram corrigidas, mas que têm sido reportadas constantemente. Em meados de janeiro,
foi descoberto um bug que deixava áudio, conversas, vídeo e
documentos vulneráveis, houve casos em que os atacantes violaram reuniões sem chamar a atenção dos presentes, por meio de scripts que adivinham
as sequências randômicas de convites e geram links de acesso a conferências
ativas.
Como se prevenir
Em tempos da pandemia do COVID-19, o aumento de pessoas trabalhando em regime de Home Office cresceu
muito, obrigando que muitos façam suas reuniões por meio do uso de ferramentas com esta finalidade, como a Zoom.
Entretanto, os responsáveis pela ferramenta ainda não se pronunciaram sobre quando ocorrerá a correção da vulnerabilidade. Segundo os pesquisadores (@_g0dmode e Matthew Hickey), o ataque funciona apenas para usuários do Windows e quando o alvo clica no link a ferramenta envia as credenciais através da porta 445, a qual normalmente é usada para transmitir tráfego relativos ao protocolo SMB (Serve Message Block, responsável pelo compartilhamento de arquivos em rede ) e também pelo serviço do Active Directory.
Entretanto, os responsáveis pela ferramenta ainda não se pronunciaram sobre quando ocorrerá a correção da vulnerabilidade. Segundo os pesquisadores (@_g0dmode e Matthew Hickey), o ataque funciona apenas para usuários do Windows e quando o alvo clica no link a ferramenta envia as credenciais através da porta 445, a qual normalmente é usada para transmitir tráfego relativos ao protocolo SMB (Serve Message Block, responsável pelo compartilhamento de arquivos em rede ) e também pelo serviço do Active Directory.
Na situação que a porta 445 está fechada para saída, seja
pelo próprio device, firewall ou mesmo o provedor, o ataque
não funciona. De qualquer forma, usuários Windows devem ficar atentos a links
suspeitos, mas fica o alerta para todos terem cuidado neste momento delicado.
UPDATE: CEO da Zoom, informa que a vulnerabilidade foi corrigida logo após a exposição: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
Referencias:
0 comentários: