พบช่องโหว่บน Zoom สามารถขโมย Windows Credentials ได้

ช่วงนี้ Zoom ค่อนข้างจะได้รับการกล่าวถึงเป็นพิเศษทั้งในแง่ของ Privacy และ Security โดยมีข่าวอีกประเด็นที่ผู้เชี่ยวชาญพบว่าสามารถลอบขโมย Windows Credentials ได้

credit : BleepingComputer

ไอเดียเกิดการที่แชทของโปรแกรม Zoom สามารถส่ง URL และแบบ Hyperlink เพื่อสามารถคลิกเปิดได้ทันที อย่างไรก็ตามมีผู้เชี่ยวชาญรายหนึ่งพบว่า Zoom จะเปลี่ยน Windows Networking UNC Path (Naming System บน Windows ที่ใช้เพื่อทำพวกไฟล์แชร์ โดยมี Format คือ ‘\\host-name\share-name\file_path’) ไปในรูปแบบที่คลิกเปิดได้ด้วย ซึ่งสำนักข่าว Bleeping Computer ได้ทดลองเรียกเปิดรูปแมวจากเซิร์ฟเวอร์ตามรูปด้านบน 

credit : BleepingComputer

ประเด็นปัญหาคือการใช้งาน UNC Path หมายความว่า Windows จะมีการเชื่อมต่อไปยังรีโมตไซต์ด้วย SMB Protocol ซึ่งโดยปกติแล้วจะมีการส่งชื่อล็อกอินและ NTLM Password ออกไปด้วย ทั้งนี้นักวิจัยพบว่าเขาสามารถดักจับ Password ที่ส่งเข้ามาได้เพื่อทำการแคร็กต่อซึ่งก็ไม่ได้ยากนัก (ตามรูปด้านบน) นอกจากนี้นักวิจัยยังชี้ว่าสามารถใช้วิธีการนี้สามารถใช้รันโปรแกรมที่อยู่ในคอมพิวเตอร์ได้ด้วย เช่น \\127.0.0.1 และก็มีอีกไอเดียจากผู้เชี่ยวชาญของ Google ที่ชี้ว่าสามารถเรียกรันโปรแกรมได้โดยไม่ติด Prompt (Bleeping Computer ได้ทดสอบไว้ตามรูปด้านล่าง)

credit : BleepingComputer

การป้องกัน

ปัจจุบัน Zoom รับทราบปัญหาแล้วพยายามแก้ไขแล้ว แต่ผู้ใช้งานก็มีทางเลือกป้องกันตัวเองก่อนได้ดังนี้

  • ใช้ Group Policy เพื่อปิดการส่ง Outgoing NTLM ไปยังเซิร์ฟเวอร์ แต่อาจจะมีปัญหากับการใช้งานแชร์ของเครื่องที่ Join Domain ผู้ใช้งานสามารถเข้าไปที่ ‘Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ และเลือก Deny All
  • สำหรับผู้ใช้งาน Windows 10 Home สามารถเข้าไปที่ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 สร้าง Registry Value ชื่อ ‘RestrictSendingNTLMTraffic’ และตั้งค่าเป็น 2 (ตามรูปด้านล่าง)
credit : BleepingComputer

การป้องกันของ TechTalkThai

เนื่องจาก TechTalkThai เองก็มีการใช้ Zoom เพื่อจัด Webinar ขึ้นเช่นกัน ซึ่งเราก็ไม่นิ่งนอนใจกับปัญหาต่างๆ ที่เกิดขึ้น สำหรับประเด็นช่องโหว่นี้ได้ถูกลด Attack Surface ไปแล้ว ด้วยการที่เราปิดฟีเจอร์มิให้ผู้ชมส่งแชทหากันเอง และจะเปิดโต้ตอบเพียงผู้ชมกับทีมงานและวิทยากรเท่านั้นครับ โดยเราได้อธิบายการป้องกันอื่นไว้ในหัวข้อ “ชี้แจงประเด็นด้านความมั่นคงปลอดภัยในการใช้ Zoom จัด Webinar โดย TechTalkThai

ที่มา :  https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบช่องโหว่ใน macOS อนุญาตให้แฮกเกอร์ติดตั้ง Kernel Driver ที่เป็นอันตรายได้

ทีมนักวิจัยด้านความปลอดภัยของ Microsoft ค้นพบช่องโหว่ในระบบ System Integrity Protection ของ macOS ที่อาจถูกใช้ติดตั้งมัลแวร์ระดับ Kernel และหลบเลี่ยงการตรวจสอบความปลอดภัย

อุปกรณ์ Apple เสี่ยงถูกโจมตี ผ่านช่องโหว่คอนโทรลเลอร์ USB-C ACE3

ผู้ใช้อุปกรณ์ Apple กำลังเผชิญความเสี่ยงใหม่ หลังจากที่นักวิจัยด้านความมั่นคงปลอดภัยสามารถแฮ็กคอนโทรลเลอร์ USB-C ACE3 ซึ่งเป็นส่วนสำคัญที่รับผิดชอบการจัดการการชาร์จไฟและการถ่ายโอนข้อมูลบนอุปกรณ์รุ่นล่าสุดของ Apple ได้สำเร็จ