雲視訊會議軟體Zoom深陷信任危機,連曝漏洞或將淪為黑客“惡魔之眼”

國際安全智庫發表於2020-04-03

【導讀】近日,遠端雲視訊會議軟體Zoom連環曝出重磅漏洞問題,引發廣泛關注。不僅美國國家航空航天局NASA叫停視訊會議APP,美國聯邦調查局FBI貼出告示,警惕“Zoom炸彈”,就連Zoom官方也緊急宣佈:凍結新功能更新90天!面對這樣的Zoom,遠端視訊會議辦公的你,還敢用嗎?


Zoom:一家總部位於美國加利福尼亞州聖荷西的科技公司,2011年,由移民到美國的中國軟體工程師袁徵在創辦,並面向全球提供高清雲視訊會議服務。


尤其伴隨新冠疫情全球性爆發,Zoom憑藉其強大優勢,(諸如免費版本可最多支援100個使用者參加會議,可自定義照片背景以及更改攝像頭角度,進行加密的私人通話,甚至傳送直接訊息並記錄會話等)成為與Microsoft的Skype、Teams平臺以及Cisco的Webex相匹敵的視訊會議工具,迅速火遍全球。據統計,美國500強企業中有三分之一都在使用Zoom的服務,排名前200的美國大學中有90%都是其客戶。


然而,福禍相倚,在Zoom順勢爆紅時,它也成為全球黑客組織發起攻擊的“重磅轟炸區”。


Zoom客戶端聊天模組曝"驚天漏洞"

可暴力破解目標使用者Windows登入憑據


4月1日,Windows 版 Zoom 客戶端曝出了一個極其嚴重的安全漏洞。攻擊者通過該漏洞,可逆向“爆破”目標使用者的Windows的登入憑據,掌握系統最高許可權,並隨意啟動目標使用者的程式,如CMD命令符等。這一漏洞的披露,對遠端工作者猶如晴天霹靂,全球上下一片譁然。


震驚之餘,智庫也對此進行了深度追蹤分析,發現威脅起源於Zoom客戶端中的一個聊天模組。該模組是Zoom官方為優化遠端辦公體驗,開設的一個用於文字交流的群聊功能。在這裡,所有成員發出來的URL連結都會被系統轉換,以便群內的其他成員點選。


然而,這一“轉換”恰恰卻成了黑客攻陷使用者系統的絕佳突破口。因為Zoom客戶端不僅會處理群聊中的常規URL連結,還會將員工遠端訪問共享檔案的Windows網路UNC 路徑也給轉換成可被點選的連結。


UNC(Universal Naming Convention):通用命名規範。主要指區域網上共享資源的檔案目錄路徑。比如,要訪問softer計算機中名為it168的共享資料夾,用UNC表示就是\\softer\it168。


當使用者點選UNC路徑時,Windows會通過傳送使用者登入名和NTLM密碼雜湊值,使用SMB網路共享檔案協議連線到遠端站點。在此過程中,Zoom使用者的IP地址、域名、使用者名稱和主機名隨時都可能被洩露。瞬而,黑客組織便可據此使用John the Ripper之類的密碼破解器,在幾秒鐘之內,迅速暴力破解使用普通GPU(Graphics Processing Unit:圖形處理器,主要用於系統資訊轉換驅動)的電腦密碼。


SMB(ServerMessageBlock)檔案共享協議:也稱伺服器訊息模組,是一種區域網檔案共享傳輸協議,常被用來作為共享檔案安全傳輸研究的平臺,而NTLM則是該協議下的一種身份驗證方式。


雖然,Windows會在程式被執行前發出是否允許執行的提示。但關於此次漏洞的爆破“影響值”,安全研究員提醒仍不容小覷。


雲視訊會議軟體Zoom深陷信任危機,連曝漏洞或將淪為黑客“惡魔之眼”


因為經測試發現,這種攻擊不僅能竊取 Windows 登入憑據,還能越過受害者直接啟動本地計算機上的程式(比如 CMD 命令提示符)。這一結果無疑標誌著被無數企業奉為圭臬的Zoom辦公模式再度陷入了信任危機。


一波未平一波又起

Zoom安裝包或將成為惡意程式碼發源地


然而,Zoom的麻煩遠不止此。


繼客戶端漏洞曝出後,另外一個可被用於全面接管Zoom使用者Mac電腦的漏洞也隨即被披露。利用後者,攻擊者可在目標計算機中任意安裝惡意軟體。


關於這一漏洞原理,與 “Zoom安裝程式到底是如何在不需要使用者點選的情況下,順利完成安裝工作”這個困擾使用者許久的問題密切相關。美國威脅檢測公司VMRay技術負責人解釋道:“Zoom使用的是捆綁了7zip手動解壓縮應用程式的預安裝指令碼。如果當前使用者在admin組中,不需要root,即可則將其直接安裝到/ Applications。”


雲視訊會議軟體Zoom深陷信任危機,連曝漏洞或將淪為黑客“惡魔之眼”


也就是說,攻擊者可以通過向Zoom安裝程式注入惡意程式碼,來獲得超級使用者或“ root ”特權,並在使用者不知情的情況下訪問底層的MacOS並執行惡意軟體或間諜軟體。


更為嚴重的是,在全球疫情不斷蔓延的當下,Zoom平臺的使用率也逐步攀升,資料顯示,約60%的世界500強公司使用該平臺。而針對上述重大問題,在Zoom官方還未給出有力解決辦法前,犯罪分子早已搶先行動。


據ABC的報導,當地時間3月31日,美國聯邦調查局FBI波士頓辦公室釋出通告稱,3月底已有不明身份的攻擊者向馬薩諸塞州正在上網課的學校接連多次發動攻擊。


面對如此嚴峻形勢,智庫建議大家:

1、設定組策略,限制向遠端伺服器傳出 NTLM 通訊(參考如下操作):

計算機配置 -> Windows 設定 -> 安全設定 -> 本地策略 -> 安全選項 -> 網路安全:限制NTLM -> 傳送到遠端伺服器的 NTLM 通訊(然後全部配置為拒絕)。

2、如果是無權訪問組策略設定的Windows家庭版使用者,則可以管理員的身份,通過登錄檔編輯器來完成相關的限制操作:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]"RestrictSendingNTLMTraffic"=dword:00000002


雲視訊會議軟體Zoom深陷信任危機,連曝漏洞或將淪為黑客“惡魔之眼”


若日後有必要恢復預設傳送 NTLM 憑據的 Windows 行為,也只需刪除對應的 RestrictSendingNTLMTraffic 鍵值。

3、確保Zoom軟體更新至最新版本,並注意不要公開發布進入網路會議室或網路教室的連結。 

相關文章