Zoom-svaghed giver mulighed for at få fat i legitimationsoplysninger
Zooms Windows-klient er sårbar over for UNC-stiinjektion (Universal Naming Convention path injection) i klientens chatfunktion, der kan give hackere adgang til brugernes legitimationsoplysninger. UNC gør det muligt at angive filer og resurser i et netværk.
Sårbarheden består ifølge Bleepingcomputer i muligheden for at dele URL’er, som i chatten bliver til hyperlinks, som andre brugere kan klikke på for at åbne stien i deres egen browser.
Det betyder, at hvis en bruger klikker på stien, vil Windows forsøge at forbinde det andet site ved at bruge SMB-netværkskommunikationsprotokollen (Server Message Block) til at åbne en given fil.
Når det sker, sender Windows brugerens login-navn og hash af NTLM-adgangskoden. En kode, som en hacker kan finde frem til ved at bruge et dehash-værktøj. På Bleepingcomputer ses, hvordan Twitter-brugeren @HackerFantastic er lykkedes med netop dette.
UNC-stier kan også bruges til at åbne programmer, men det skal brugeren dog først godkende.
Stor succes til Zoom under corona-krisen
Der er ikke noget, der er så skidt, at det ikke er godt for noget, det kan Zoom Video Communications skrive under på disse dage, hvor mange har brug for at kunne tale sammen i videokonferencer.
Men nu møder virksomheden modgang. Både i form af et søgsmål, hvor en bruger har anklaget Zoom for at videresende data til Facebook via IOS-appen, og nu altså også denne svaghed i Windows-klienten, hvor man skal prøve at sørge for, at UNC-stier ikke bliver til hyperlinks i chatten.
Brugeren selv kan dog også sikre, at NTLM- legitimationsoplysninger bliver sent til fjern-servere.
Stien findes her: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
Desuden er der en grundig gennemgang på Bleepingcomputer, hvor der også kan findes billeder af, hvordan sårbarheden virker.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.