Black Hat Asia 2021

พบช่องโหว่บน Zoom สามารถขโมย Windows Credentials ได้

ช่วงนี้ Zoom ค่อนข้างจะได้รับการกล่าวถึงเป็นพิเศษทั้งในแง่ของ Privacy และ Security โดยมีข่าวอีกประเด็นที่ผู้เชี่ยวชาญพบว่าสามารถลอบขโมย Windows Credentials ได้

credit : BleepingComputer

ไอเดียเกิดการที่แชทของโปรแกรม Zoom สามารถส่ง URL และแบบ Hyperlink เพื่อสามารถคลิกเปิดได้ทันที อย่างไรก็ตามมีผู้เชี่ยวชาญรายหนึ่งพบว่า Zoom จะเปลี่ยน Windows Networking UNC Path (Naming System บน Windows ที่ใช้เพื่อทำพวกไฟล์แชร์ โดยมี Format คือ ‘\\host-name\share-name\file_path’) ไปในรูปแบบที่คลิกเปิดได้ด้วย ซึ่งสำนักข่าว Bleeping Computer ได้ทดลองเรียกเปิดรูปแมวจากเซิร์ฟเวอร์ตามรูปด้านบน 

credit : BleepingComputer

ประเด็นปัญหาคือการใช้งาน UNC Path หมายความว่า Windows จะมีการเชื่อมต่อไปยังรีโมตไซต์ด้วย SMB Protocol ซึ่งโดยปกติแล้วจะมีการส่งชื่อล็อกอินและ NTLM Password ออกไปด้วย ทั้งนี้นักวิจัยพบว่าเขาสามารถดักจับ Password ที่ส่งเข้ามาได้เพื่อทำการแคร็กต่อซึ่งก็ไม่ได้ยากนัก (ตามรูปด้านบน) นอกจากนี้นักวิจัยยังชี้ว่าสามารถใช้วิธีการนี้สามารถใช้รันโปรแกรมที่อยู่ในคอมพิวเตอร์ได้ด้วย เช่น \\127.0.0.1 และก็มีอีกไอเดียจากผู้เชี่ยวชาญของ Google ที่ชี้ว่าสามารถเรียกรันโปรแกรมได้โดยไม่ติด Prompt (Bleeping Computer ได้ทดสอบไว้ตามรูปด้านล่าง)

credit : BleepingComputer

การป้องกัน

ปัจจุบัน Zoom รับทราบปัญหาแล้วพยายามแก้ไขแล้ว แต่ผู้ใช้งานก็มีทางเลือกป้องกันตัวเองก่อนได้ดังนี้

  • ใช้ Group Policy เพื่อปิดการส่ง Outgoing NTLM ไปยังเซิร์ฟเวอร์ แต่อาจจะมีปัญหากับการใช้งานแชร์ของเครื่องที่ Join Domain ผู้ใช้งานสามารถเข้าไปที่ ‘Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ และเลือก Deny All
  • สำหรับผู้ใช้งาน Windows 10 Home สามารถเข้าไปที่ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 สร้าง Registry Value ชื่อ ‘RestrictSendingNTLMTraffic’ และตั้งค่าเป็น 2 (ตามรูปด้านล่าง)
credit : BleepingComputer

การป้องกันของ TechTalkThai

เนื่องจาก TechTalkThai เองก็มีการใช้ Zoom เพื่อจัด Webinar ขึ้นเช่นกัน ซึ่งเราก็ไม่นิ่งนอนใจกับปัญหาต่างๆ ที่เกิดขึ้น สำหรับประเด็นช่องโหว่นี้ได้ถูกลด Attack Surface ไปแล้ว ด้วยการที่เราปิดฟีเจอร์มิให้ผู้ชมส่งแชทหากันเอง และจะเปิดโต้ตอบเพียงผู้ชมกับทีมงานและวิทยากรเท่านั้นครับ โดยเราได้อธิบายการป้องกันอื่นไว้ในหัวข้อ “ชี้แจงประเด็นด้านความมั่นคงปลอดภัยในการใช้ Zoom จัด Webinar โดย TechTalkThai

ที่มา :  https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

4 ขั้นตอนปกป้องข้อมูลส่วนบุคคล ลดโอกาสเสี่ยงที่จะถูกปรับหรือจำคุกจากพรบ.คุ้มครองข้อมูลส่วนบุคคล ด้วยโซลูชันจาก Thales

ในพรบ.คุ้มครองข้อมูลส่วนบุคคลนั้นได้มีการระบุถึงการลงโทษในกรณีต่างๆ ที่เกิดการละเมิดข้อมูลส่วนบุคคล โดยมีทั้งโทษจำคุกและโทษปรับ เพื่อให้ธุรกิจต่างๆ นั้นเกิดการตื่นตัวต่อประเด็นด้านการปกป้องข้อมูลส่วนบุคคลของลูกค้า, คู่ค้า และพนักงานมากยิ่งขึ้น เพื่อให้ธุรกิจองค์กรไทยสามารถปรับตัวรับกับข้อกำหนดในพรบ. ดังกล่าวนี้ได้ดียิ่งขึ้น Thales ในฐานะของผู้นำทางด้านเทคโนโลยี Data Security และ Data Privacy จึงได้สรุปถึง 4 แนวทางด้าน Data Security ในการปกป้องข้อมูลส่วนบุคคลเอาไว้ เพื่อให้ธุรกิจนำไปศึกษาและประยุกต์ใช้งานได้อย่างง่ายดาย

[Guest Post] Microsoft Exchange Server โดนโจมตีผ่านช่องโหว่ ส่งผลต่อความมั่นคงด้านความปลอดภัยของข้อมูล

ฮือฮาวงการธุรกิจ Microsoft Exchange Server โดนโจมตีผ่านช่องโหว่จนนำไปสู่การโจมตีผ่านอีเมลเซิร์ฟเวอร์กว่า 500 เซิร์ฟเวอร์ ซึ่งเหตุการณ์นี้เกิดขึ้นที่อังกฤษ ส่งผลให้องค์กรเหล่านั้นสูญเสียความน่าเชื่อถือเป็นอย่างมาก ในขณะที่ไต้หวันก็โดนโจมตีผ่านอีเมลเซิร์ฟเวอร์เช่นกัน