В Zoom обнаружена уязвимость, способная привести к компрометации учетных записей Windows

    Клиентская часть ПО для видеоконференцсвязи Zoom под Windows подвержена уязвимости UNC path injection, сообщает ресурс BleepingСomputer. В частности, проблема связана с чатом: клик по ссылке, присланной в чат, может привести к компрометации данных учетной записи пользователя в операционной системе и исполнению вредоносного кода на локальной машине.



    В ходе видеоконференцсвязи пользователи Zoom могут не только общаться голосом, но и обмениваться сообщениями, документами или ссылками в чате. При отправке сообщения любой содержащийся в нем URL автоматически конвертируется в гиперссылку. Однако исследователь в области ИБ @_g0dmode обнаружил, что в гиперссылку конвертируются и UNC-пути.



    Казалось бы, и что тут ужасного?

    На самом деле, если пользователь кликнет по такой ссылке, Windows попытается установить соединение, используя протокол SMB. При этом Windows отсылает логин пользователя и NTLM хэш пароля. Далее можно восстановить пароль по хэшу, используя специализированные бесплатные утилиты типа hashcat.

    BleepingComputer протестировали уязвимость и подтвердили возможность кражи хэшей паролей с ее помощью.



    Кроме того, переход по вредоносному UNC-пути может привести к запуску стороннего ПО на локальной машине пользователя. Например, при клике на UNC-путь \\127.0.0.1\C$\windows\system32\calc.exe хост попытается запустить калькулятор. К счастью, в этом случае Windows, по крайней мере, запросит у пользователя разрешение на запуск исполняемого файла.



    Что делать


    Существует групповая политика, которая не позволяет автоматически передавать учетные данные NTML на удаленный сервер при переходе по UNC-пути. Она называется Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers, галочку можно поставить здесь:

    Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

    В dropdown-меню выбираем Deny All



    Надо иметь в виду, что для машин в домене эта политика создаст сложности с доступом к общим ресурсам по протоколу SMB. Если это проблема, то здесь написано, как добавлять исключения (статья на английском).

    Если вы домашний пользователь Windows 10 и хотите обезопасить, например, свой личный компьютер, вам надо будет настроить эту политику с помощью реестра. Для этого надо открыть Редактор реестра под админской учетной записью, создать запись RestrictSendingNTLMTraffic в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 и установить ее значение на 2.
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
    «RestrictSendingNTLMTraffic»=dword:00000002

    В итоге запись RestrictSendingNTLMTraffic будет выглядеть вот так:



    Компьютер после этого перезагружать не обязательно.

    Чтобы откатить все назад, достаточно просто удалить запись RestrictSendingNTLMTraffic.
    Ростелеком-Солар
    Безопасность по имени Солнце

    Комментарии 9

      +7

      А почему это уязвимость zoom'а? Чистой воды WTF у Винды — почему она отсылает хэш пароля, а не использует протокол с верификацией пароля без его disclose?

        +3
        Потому что зарестриктить NTLM не так уж и просто.
        Рабочие группы начнут немного умирать, да и в домене нтлм часто используется для SSO и всяких принтеров там.
        Предлагаемая политика, кстати, входит в best practices, и оно даже в евентлогах пишет, что так и так — у вас тут ходит дырявый протокол аутентификации. Но кто ж их читает-то.
          0
          Вообще, большая часть SSO и прочих аутентификаций прекрасно живёт по kerberos. NTLM остался только для древнего софта/железа, который уже не поддерживается.
            0
            Тут далеко не все офисные железяки научились SMB2, а Вы про NTLM.
        +1
        #define NTLM false

        В соответствующем месте сырцов. Не надо мне рассказывать, что майкрософту так уж трудно отключить поддержку NTLM, gopher, IPX/SPX и прочих античных хреней. Почему-то SSL 2.0 они отключили и рука не дрогнула, а NTML прям жалко убивать. Так старались, изобретали, и вдруг, получилось унылое Г. Аж обидно, да?

          +2
          Я не до конца уловил, а если эта ссылка будет не в Зуме открыта, то что-то поменяется?
            +2
            мне кажется даже Skype for Business от мелкософта делает тоже самое
            +2

            Так. И что предлагает Ростелеком?

              0
              Ничего нового, еще в 2016 ValdikSS: habr.com/ru/post/306810

              и если уж уточнять, то:

              Windows Registry Editor Version 5.00

              [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
              «RestrictReceivingNTLMTraffic»=dword:00000002
              «RestrictSendingNTLMTraffic»=dword:00000002

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое