Zoom, Windows 10 ağ giriş bilgilerini sızdırabilir. Görüntülü görüşme yazılımı Zoom, güvenlik ve gizlilik konusunda ardı ardına kriz yaşıyor. Yazılımın karnesine Facebook gibi üçüncü taraflara bilgi sızdırma, vaat ettiği gibi uçtan uca şifreleme yapmamanın yanına şimdi de kimlik bilgisi sızdırma olasılığı yazıldı.
Twitter’da @_g0dmode ismini kullanan bir güvenlik uzmanı, Zoom Windows istemcisinde grup sohbet içerisinde bağlantı paylaşımı yapıldığında, karşıdaki kişilere ağa girebilme yetkisi verebildiğini fark etti.
Bunun sebebi Zoom’un sadece grup video görüşmesi için gereken URL’yi tıklanabilir bir bağlantıya dönüştürmekle kalmayıp, Windows’un ağ için kullandığı evrensel adlandırma konvansiyonu (UNC) yollarını da bu bağlantıya eklemesinden kaynaklanıyor.
UNC, bir ağ kaynağının konumunu belirlemek için kullanılıyor. Fark edilen bu açık ile video sohbetteki kişilerin, saldırgan kişilerin kontrol ettiği bir SMB sunucusuna giriş yapılması sağlanabilir. Buradan da ağa giriş için kullanılan kimlik bilgileri saldırganın eline geçebilir. Zira Windows varsayılan olarak kullanıcının hesap adını ve NT Ağ Yöneticisi (NTLM) kimlik hash’ini gönderebilir.
#Zoom chat allows you to post links such as \x.x.x.xxyz to attempt to capture Net-NTLM hashes if clicked by other users.
— Mitch (@_g0dmode) March 23, 2020
Ayrıca, bu yöntemle bir SMB bağlantısı kurulduğunda, bağlanan kişinin IP adresi, alan adı, kullanıcı adı ve istemci adı da görülebiliyor.
Kimlik hash’i, kimlik bilgisinin düz metin değil, şifrelenmiş bir hali. Ancak zayıf parolalar ortalama bir grafik işlemciye sahip bir $de John The Ripper parola kırma yazılımı ve muadiliyle birkaç saniye içerisinde kırılabilir.
Dear @zoom_us & @NCSC – well that escalated quickly…. Thanks to @AppSecBloke & @SeanWrightSec for letting me use their Zoom meeting to test. You can exploit UNC path injection to run arbitrary code, Windows does warn you with an alert box however. pic.twitter.com/aakSK1ohcL
— hackerfantastic.x (@hackerfantastic) April 1, 2020
Matthew Hickey adlı güvenlik uzmanı ise UNC yolu enjeksiyon problemi ile SMB Relay saldırıları gerçekleştirilebileceğini gösterdi. Ayrıca bulduğu UNC yolu ile uzaktan dosya çalıştırmayı da başardı. Ancak bu durumda Windows bir uyarı ekrana getiriyor.
Hickey’ye göre, Zoom’un çözümü, UNC yollarını web bağlantılarına dahil etmemek olmalı. Zoom henüz konuyla ilgili bir açıklama yapmadı.
Zoom ağ açığına karşı yapılacakları Microsoft, burada bulabileceğiniz dokümanda açıklıyor.
