Zoom客戶端聊天模塊曝“驚天漏洞”，可暴力破解目標用戶Windows登錄憑據(jù)

4月1日，Windows 版 Zoom 客戶端曝出了一個極其嚴重的安全漏洞。攻擊者通過該漏洞，可逆向“爆破”目標用戶的Windows的登錄憑據(jù)，掌握系統(tǒng)最高權(quán)限，并隨意啟動目標用戶的程序，如CMD命令符等。這一漏洞的披露，對遠程工作者猶如晴天霹靂，全球上下一片嘩然。

震驚之余，智庫也對此進行了深度追蹤分析，發(fā)現(xiàn)威脅起源于Zoom客戶端中的一個聊天模塊。該模塊是Zoom官方為優(yōu)化遠程辦公體驗，開設的一個用于文本交流的群聊功能。在這里，所有成員發(fā)出來的URL鏈接都會被系統(tǒng)轉(zhuǎn)換，以便群內(nèi)的其他成員點擊。

然而，這一“轉(zhuǎn)換”恰恰卻成了黑客攻陷用戶系統(tǒng)的絕佳突破口。因為Zoom客戶端不僅會處理群聊中的常規(guī)URL鏈接，還會將員工遠程訪問共享文件的Windows網(wǎng)絡UNC 路徑也給轉(zhuǎn)換成可被點擊的鏈接。

UNC（Universal Naming Convention）：通用命名規(guī)范。主要指局域網(wǎng)上共享資源的文件目錄路徑。比如，要訪問softer計算機中名為it168的共享文件夾，用UNC表示就是\\softer\it168。

當用戶點擊UNC路徑時，Windows會通過發(fā)送用戶登錄名和NTLM密碼哈希值，使用SMB網(wǎng)絡共享文件協(xié)議連接到遠程站點。在此過程中，Zoom用戶的IP地址、域名、用戶名和主機名隨時都可能被泄露。瞬而，黑客組織便可據(jù)此使用John the Ripper之類的密碼破解器，在幾秒鐘之內(nèi)，迅速暴力破解使用普通GPU（Graphics Processing Unit：圖形處理器，主要用于系統(tǒng)信息轉(zhuǎn)換驅(qū)動）的電腦密碼。

SMB（ServerMessageBlock）文件共享協(xié)議：也稱服務器消息模塊，是一種局域網(wǎng)文件共享傳輸協(xié)議，常被用來作為共享文件安全傳輸研究的平臺，而NTLM則是該協(xié)議下的一種身份驗證方式。

雖然，Windows會在程序被執(zhí)行前發(fā)出是否允許運行的提示。但關(guān)于此次漏洞的爆破“影響值”，安全研究員提醒仍不容小覷。

因為經(jīng)測試發(fā)現(xiàn)，這種攻擊不僅能竊取 Windows 登錄憑據(jù)，還能越過受害者直接啟動本地計算機上的程序（比如 CMD 命令提示符）。這一結(jié)果無疑標志著被無數(shù)企業(yè)奉為圭臬的Zoom辦公模式再度陷入了信任危機。

一波未平一波又起，Zoom安裝包或?qū)⒊蔀閻阂獯a“發(fā)源地”

然而，Zoom的麻煩遠不止此。

繼客戶端漏洞曝出后，另外一個可被用于全面接管Zoom用戶Mac電腦的漏洞也隨即被披露。利用后者，攻擊者可在目標計算機中任意安裝惡意軟件。

關(guān)于這一漏洞原理，與 “Zoom安裝程序到底是如何在不需要用戶點擊的情況下，順利完成安裝工作”這個困擾用戶許久的問題密切相關(guān)。美國威脅檢測公司VMRay技術(shù)負責人解釋道：“Zoom使用的是捆綁了7zip手動解壓縮應用程序的預安裝腳本。如果當前用戶在admin組中，不需要root，即可以將其直接安裝到/ Applications。”

也就是說，攻擊者可以通過向Zoom安裝程序注入惡意代碼，來獲得超級用戶或“ root ”特權(quán)，并在用戶不知情的情況下訪問底層的MacOS并運行惡意軟件或間諜軟件。

更為嚴重的是，在全球疫情不斷蔓延的當下，Zoom平臺的使用率也逐步攀升，數(shù)據(jù)顯示，約60%的世界500強公司使用該平臺。而針對上述重大問題，在Zoom官方還未給出有力解決辦法前，犯罪分子早已搶先行動。

據(jù)ABC的報道，當?shù)貢r間3月31日，美國聯(lián)邦調(diào)查局FBI波士頓辦公室發(fā)布通告稱，3月底已有不明身份的攻擊者向馬薩諸塞州正在上網(wǎng)課的學校接連多次發(fā)動攻擊。

面對如此嚴峻形勢，智庫建議大家：

1、設置組策略，限制向遠程服務器傳出 NTLM 通信（參考如下操作）：

計算機配置 -> Windows 設置 -> 安全設置 -> 本地策略 -> 安全選項 -> 網(wǎng)絡安全：限制NTLM -> 發(fā)送到遠程服務器的 NTLM 通信（然后全部配置為拒絕）。