Zoom-svaghed giver mulighed for at få fat i legitimationsoplysninger

1. april 2020 kl. 11:423
Zoom-svaghed giver mulighed for at få fat i legitimationsoplysninger
Illustration: Bigstock.
En mulighed for at sende UNC-stier som hyperlinks i den populære videokonferencetjeneste Zoom, gør det muligt for hackere at få fat i brugernes Windows-legitimationsoplysninger.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Zooms Windows-klient er sårbar over for UNC-stiinjektion (Universal Naming Convention path injection) i klientens chatfunktion, der kan give hackere adgang til brugernes legitimationsoplysninger. UNC gør det muligt at angive filer og resurser i et netværk.

Sårbarheden består ifølge Bleepingcomputer i muligheden for at dele URL’er, som i chatten bliver til hyperlinks, som andre brugere kan klikke på for at åbne stien i deres egen browser.

Det betyder, at hvis en bruger klikker på stien, vil Windows forsøge at forbinde det andet site ved at bruge SMB-netværkskommunikationsprotokollen (Server Message Block) til at åbne en given fil.

Når det sker, sender Windows brugerens login-navn og hash af NTLM-adgangskoden. En kode, som en hacker kan finde frem til ved at bruge et dehash-værktøj. På Bleepingcomputer ses, hvordan Twitter-brugeren @HackerFantastic er lykkedes med netop dette.

Artiklen fortsætter efter annoncen

UNC-stier kan også bruges til at åbne programmer, men det skal brugeren dog først godkende.

Stor succes til Zoom under corona-krisen

Der er ikke noget, der er så skidt, at det ikke er godt for noget, det kan Zoom Video Communications skrive under på disse dage, hvor mange har brug for at kunne tale sammen i videokonferencer.

Men nu møder virksomheden modgang. Både i form af et søgsmål, hvor en bruger har anklaget Zoom for at videresende data til Facebook via IOS-appen, og nu altså også denne svaghed i Windows-klienten, hvor man skal prøve at sørge for, at UNC-stier ikke bliver til hyperlinks i chatten.

Brugeren selv kan dog også sikre, at NTLM- legitimationsoplysninger bliver sent til fjern-servere.

Artiklen fortsætter efter annoncen

Stien findes her: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

Desuden er der en grundig gennemgang på Bleepingcomputer, hvor der også kan findes billeder af, hvordan sårbarheden virker.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
2. april 2020 kl. 10:49

Det ville være fint med lidt viden om sårbarheden i Linux systemer.. Pt bruger jeg selv Zoom i et online kursus, så kunne være rart at vide om hvor bredt dette rammer? Om det bare er Windows brugerne?

2
2. april 2020 kl. 10:27

Det er jo Windows som har et problem, så jeg forstår ikke at hvorfor Zoom skal udstilles i denne sammenhæng.

Problemet har og eksisterer måske stadig i PDF, word dokumenter og outlook (selv uåbnede mail med links).

1
1. april 2020 kl. 13:44

Brugeren selv kan dog også sikre, at NTLM- legitimationsoplysninger bliver sent til fjern-servere.

Jeg er med på, at det ikke er så moderne længere, men kan I ikke lokkes til at bruge korrekt "ikke" i negationer?