除了「Zoom-Bombing」攻擊風險外,Zoom 再爆駭客可竊取使用者 Windows 憑證漏洞
2020-04-06
Windows 版 Zoom 的使用者請注意!安全研究人員指出,就在 Zoom 使用者最近飽受「Zoom-Bombing」惡作劇不堪圖片轟炸的攻擊之際,這個原本在疫情期間被賦予重望的熱門雲端視訊會議軟體,又再度發現另一個安全漏洞,惡意攻擊者可以透過這個漏洞竊取使用者的 Windows 作業系統憑證。

點擊惡意連結憑證會自動外送

該攻擊是透過 Zoom 聊天視窗而向鎖定目標發送一組代表他們所使用 Windows 裝置之網路位置的純文字串。這個 Windows 版 Zoom 應用程式會自動將這些所謂的「通用命名慣例」(Universal Naming Convention)字串(例如 \ attacker.example.com/C$)轉換為可點擊的連結。如果被鎖定使用者點擊了這些尚未完全鎖定的網路連結,Zoom 會將 Windows 使用者名稱和相應的 NTLM 雜湊發送到包含在連結中的位址上。

然後攻擊者便可透過憑證存取共享網路資源,例如 Outlook 伺服器和儲存裝置。通常,在對某裝置進行身分驗證時,Windows 網路上的資源將接受 NTLM 雜湊值。這使得網路很容易受到所謂「傳遞雜湊」(Pass-the-Hash)攻擊,這類攻擊不需要藉助破解技術就能將雜湊值轉換為相應的純文字明碼。

「這的確是 Zoom 的一大安全缺陷,」安全方案商 Hacker House 聯合創辦人 Matthew Hickey 指出:「這原本是一個毫不起眼的小瑕疵。現在,隨著愈來愈多的人居家工作,益使得運用該漏洞的攻擊之舉變得更加容易。」

上週,一名安全研究人員在 Twitter 上以 @ _g0dmode 做為 Twitter handle 而首次介紹了這個漏洞。他寫道:「#Zoom 聊天軟體允許你張貼像 \ x.x.x.x xyz 之類的連結,一旦被其他使用者點擊,就會嘗試擷取 Net-NTLM 雜湊。」

3 月 31 日,Hickey 更進一步詳述了這個發現。他在一則推文中展示了 Zoom Windows 用戶端如何洩漏可用來存取有限部分 Windows 網路的憑證。

「嗨 @zoom_us &@NCSC,」Hickey 回覆寫道:「以下是一個使用 UNC 路徑注入來運用 Zoom Windows 用戶端漏洞以洩漏用於 SMBRelay 攻擊中憑證的範例。以下所螢幕擷圖顯示了一個範例 UNC 路徑連結和被洩漏(經修改)的憑證。」

這個螢幕擷圖顯示 Windows 使用者名稱為 Bluemoon/HackerFantastic。隨後在其下出現了 NTLM 雜湊,儘管 Hickey 在他所張貼的圖像中修改了大部分的雜湊。

駭客會搭配 Zoom-Bombing 攻擊

攻擊者可以冒充合法與會者來發動攻擊,也可以在所謂「Zoom-Bombing」攻擊中趁亂竊取 Window 憑證,透過這樣的手法,攻擊者可以進入沒有密碼保護的線上會議中,然後用攻擊性或騷擾性的惡意圖片來轟炸其他人。

雖然這種攻擊只針對 Windows 使用者,但 Hickey 表示,事實上仍可透過任何版本的 Zoom 來發動攻擊,其同樣的是透過向目標攻擊對象發送一則內含 UNC 位置之純文字訊息的手法。當 Windows 用戶在連接到某些不安全機器或網路的同時點擊了該連結,Zoom 應用程式會經由 445 連接埠向外發送憑證,該連接埠多半用來傳輸與 Windows SMB 和 Active Directory(AD)目錄服務相關的流量。

如果關閉了 445 連接埠對網際網路的開放(不是透過裝置或網路防火牆,就是透過 ISP 網路服務供應商來加以封鎖),那麼駭客就無法發動這樣的攻擊。但是,如此一來也會將 Zoom 服務關閉,所以企業不見得會關閉 445 連接埠。過去一個月愈演愈烈的疫情大流行趨勢,讓數以百萬計的居家工作者失去了他們原本在工作場合所能獲得之相同水準的 IT 與安全支援。這使得 445 連接埠很有可能處於開放狀態,其可能是因為疏忽,也可能是基於連接企業資源的需要而開放的。