Según los informes, el cliente de Windows de la aplicación viral de video chat, Zoom , tiene una vulnerabilidad crítica que podría permitir a los atacantes robar las credenciales de inicio de sesión de los usuarios. Según los investigadores de ciberseguridad, Matthew Hickey (@HackerFantastic) y Mitch (@ _g0dmode0) , la función de chat del software es vulnerable a la inyección de ruta UNC, lo que permite a los atacantes capturar los hash de contraseña NTLM cada vez que alguien hace clic en un enlace dentro de los mensajes.
Según lo informado por Bleeping Computer, la vulnerabilidad se debe al hecho de que Zoom convierte automáticamente todas las URL que se envían a través de mensajes de texto en hipervínculos. Sin embargo, actualmente no puede distinguir entre las URL reales y las rutas UNC de red de Windows, convirtiéndolas todas en hipervínculos en masa. Si un usuario hace clic en un enlace de ruta UNC, Windows intentará conectarse al sitio remoto, enviando así el nombre de inicio de sesión del usuario y el hash de contraseña NTLM al servidor malicioso.
Hi @zoom_us & @NCSC – here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— Hacker Fantastic (@hackerfantastic) March 31, 2020
Los investigadores también lanzaron una demostración de prueba de concepto que no solo ilustra cómo se pueden enviar los hashes de contraseñas a servidores de terceros, sino también cómo se pueden descifrar usando herramientas gratuitas como Hashcat para dañar, poniendo en peligro a millones de usuarios. Como si eso no fuera lo suficientemente malo, Hickey también afirma que la vulnerabilidad se puede utilizar para iniciar programas en una computadora local mediante un proceso similar.
El problema seguía sin resolverse hasta el martes, pero Hickey dice que Zoom puede mitigarlo fácilmente al no convertir las rutas UNC en hipervínculos en los que se puede hacer clic. «Zoom no debería representar rutas UNC ya que los hipervínculos son la solución, le he notificado a Zoom cuando lo divulgué en Twitter» , dijo a Bleeping Computer.
Zoom aún no ha publicado una solución para mitigar la vulnerabilidad, pero hay un par de soluciones manuales con el Editor de directivas de grupo y el Registro de Windows. Puedes verlos en Bleeping Computer .