Como si el problema de la privacidad con el software de vídeo conferencias Zoom no hubiera sido poco, ahora un investigador de seguridad informática acaba de descubrir un bug mediante el cual malos actores pueden llegar a obtener las credenciales de autenticación de Windows de otros usuarios en una vídeo conferencia.
De acuerdo al investigador con seudónimo Mitch en Twitter, «el chat te permite publicar enlaces como \\ ~ -x.x.x.x.x\xyz para intentar capturar los hashes de Net-NTLM si otros usuarios hacen clic en ellos.»
#Zoom chat allows you to post links such as \x.x.x.xxyz to attempt to capture Net-NTLM hashes if clicked by other users.
— Mitch (@_g0dmode) March 23, 2020
Una función en el chat de Zoom que vincula automáticamente las UNCs (Convención Universal de Nombres) o las URL para facilitar a los usuarios la navegación a los lugares especificados en ellas, a su vez también pueden ser rutas de red de Windows que se convierten en enlaces para que los usuarios hagan clic en ellos. Esto último luego puede ser utilizado para extraer las credenciales de Windows del usuario cuando Windows intente conectarse al sitio usando el protocolo de intercambio de archivos SMB.
Cuando cualquier usuario en el chat hace clic en la ruta y el sistema operativo intenta establecer una conexión con el sitio remoto, envía el nombre de usuario y el hash de la contraseña de NTLM, el cual puede llegar a ser descifrada con herramientas para descifrar contraseñas.
La vulnerabilidad fue probada también por Matthew Hickey (@HackerFantastic)quien pudo demostrar la inyección de UNC en Zoom y cómo la contraseña podía ser capturada a través de la UNC en el chat.
Hi @zoom_us & @NCSC – here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— hackerfantastic.x (@hackerfantastic) March 31, 2020
Hickey comentó a la publicación Bleeping Computer que además de lo anterior, obtener las credenciales de Windows, también a través de esta vulnerabilidad se pueden para ejecutar programas en una computadora local cuando se hace clic en uno de estos enlaces.
Hasta el momento de esta publicación Zoom no hizo declaraciones, ni publicó nada en su blog como lo hizo por el tema de compartir data de las conferencias con Facebook.
El único remedio temporal por ahora fue ofrecido por Bleeping Computer y para esto hay que modificar las políticas de grupos de Windows. En el blog de esta publicación explican el proceso para realizar esto.