Zoom客戶端漏洞允許黑客竊取用戶Windows密碼
Zoom開發至今,已經九年了。在冠狀病毒流行期間,人們迫切需要一個易於使用的視頻會議應用程序,因此,Zoom在一夜之間成爲數百萬人所青睞的工具。
儘管Zoom是一種高效的在線視頻會議工具,但就隱私和安全性而言,它似乎不夠理想。
這種攻擊涉及SMBRelay技術,其中Windows系統在嘗試連接和下載託管文件時,會自動向遠程SMB服務器公開用戶的登錄用戶名和NTLM密碼哈希。
只有當Windows的Zoom客戶端支持遠程UNC路徑,該攻擊纔可能發生,該路徑會將此類可能不安全的URL轉換爲個人聊天或羣聊中收件人的超鏈接。
要竊取運行Windows用戶的登錄憑據,攻擊者需要做的就是通過其聊天界面向受害者發送一個精心製作的URL(即\\ xxxx \ abc_file),如圖所示,然後等待受害者點擊,只需一次即可成功。
需要注意的是,攻擊者捕獲的密碼不是明文,但是可以使用HashCat或Ripper John等密碼破解工具,在幾秒鐘內便可輕鬆破解一個薄弱的密碼。
在辦公環境這樣的共享網絡中,被盜的登錄詳細信息可以立即重用,來破壞其他用戶或IT資源,併發起進一步的攻擊。
除了竊取Windows憑據外,還可以利用該漏洞啓動目標計算機上已經存在的任何程序或下載其他程序,爲攻擊者進行社會工程學活動做準備。
Zoom已經收到有關此漏洞的通知,但是由於尚未修復,建議用戶使用替代的視頻會議軟件或在Web瀏覽器中使用Zoom,代替其客戶端應用程序避免被攻擊的風險。
除了使用安全密碼外,Windows用戶還可以更改安全策略設置,限制操作系統將其NTML憑據自動傳遞給遠程服務器。
正如前文所述,在過去兩天裏,這不是Zoom被發現的唯一隱私或安全問題。就在昨天,另一份報告證實,儘管Zoom對用戶聲稱 “正在使用端到端加密連接”,但實際上,並未使用端到端加密來保護其用戶數據免遭窺視。
昨日,紐約總檢察長致信Zoom,要求公司處理敏感數據,要更透明,要切實採取措施保護用戶數據。信中除了提及Zoombombings的事件,還問及Zoom應如何處理系統中存在的安全漏洞,包括允許惡意第三方訪問消費者網絡攝像頭,以及類似於Facebook將數據共享給其他公司等問題。
對此,在3月30日,Zoom更新了隱私策略並對檢察長的致信作出了回應:“我們感謝紐約州檢察長在這些問題上的參與,並很高興爲她提供所要求的信息。”
據瞭解,Zoom近期曝出的安全問題層出不窮。就在上週,在曝出與Facebook服務器共享用戶設備信息後,Zoom更新了其iOS應用程序,但是這還是引發了人們對其未能保護用戶隱私的擔憂。
今年早些時候,Zoom還修補了其軟件中的另一個隱私漏洞,該漏洞可能讓未被邀請的人蔘加私人會議,並遠程竊聽整個會話,共享私人音頻、視頻和文檔。
用戶可採取的安全防禦措施
瞭解使用Zoom時的隱私注意事項 爲Zoom會議添加密碼
創建新的Zoom會議時,Zoom將自動啓用“需要會議密碼”設置並分配一個隨機的6位數字密碼。儘量不要取消選中此選項,因爲這樣做將允許任何人未經許可訪問會議。
使用等候室功能
Zoom允許主持人(創建會議的主持人)啓用等候室功能,該功能可以防止用戶未經主持人允許就進入會議。可以在會議創建期間通過以下方式啓用此功能:打開高級設置,選中“啓用候診室”設置,然後單擊“保存”按鈕。
及時更新Zoom客戶端
最新的Zoom更新默認情況下啓用會議密碼,並增加了對掃描會議ID的人員的保護。
不要分享個人的會議ID
每個Zoom用戶都會獲得一個與其帳戶相關聯的永久“個人會議ID”(PMI)。如果將個人的PMI交給其他人,他們將始終能夠檢查是否有正在進行的會議,如果未配置密碼,則有可能加入會議。
禁用參與者屏幕共享
爲防止會議被他人劫持,應防止主持人以外的其他參與者共享他們的屏幕。作爲主持人,可以在會議中通過單擊“縮放”工具欄中“共享屏幕”旁邊的向上箭頭,然後單擊“高級共享選項”來完成此操作,如下所示。
每個人加入完畢後鎖定會議
如果每個人都參加了會議,並且沒有邀請其他人,則應該鎖定會議,這樣其他人就不能參加。爲此,請單擊“縮放”工具欄上的“管理參與者”按鈕,然後在“參與者”窗格底部選擇“更多”。然後選擇“鎖定會議”選項,如下所示。
不要發佈Zoom的會議圖片
如果爲Zoom會議拍照,那麼看到此照片的任何人都將能夠看到其相關會議ID,然後可以嘗試進入該會議。攻擊者可能會使用它來嘗試通過顯示的ID手動加入來獲得未經授權的會議訪問權限。
不要發佈會議的公共鏈接
創建Zoom會議時,切勿公開發佈會議鏈接。 這樣做會使諸如Google之類的搜索引擎對鏈接建立索引,並使搜索它們的任何人都可以訪問它們。
警惕以Zoom爲主題的惡意軟件
自冠狀病毒爆發以來,製造惡意軟件、網絡釣魚詐騙和其他與疫情相關的攻擊的威脅參與者數量迅速增加,這包括僞裝爲Zoom客戶端安裝程序的惡意軟件和廣告軟件安裝程序。
