fbpx

SEGUICI SU:

DELLO STESSO AUTORE

INSTAGRAM

CORRELATI

Zoom: un bug permette di rubare le password

Con il Coronavirus nel pieno della diffusione cresce l’utilizzo di software per videoconferenze, come Skype, Hangout, Teams o Zoom. Proprio quest’ultimo è al centro di vulnerabilità scoperta pochi giorni fa che permetterebbe di rubare le password degli utenti.

Il bug, riportato da BleepingComputer, è attualmente sotto indagine dal team di Zoom, che ha anche lanciato un programma di bug bounty.

Zoom: attenzione ai path

Il client Zoom di Windows si è rivelato essere vulnerabile alle UNC path injection, come individuato dal ricercatore di sicurezza _godmode su Twitter. Gli indirizzi UNC (Universal Naming Convention) sono i path ai file utilizzati nei sistemi Windows, ad esempio \\host-name\folder-name\\object-name. Questi percorsi, se copiati nella chat di Zoom, vengono trattati come dei link cliccabili.

La chat di Zoom tratta allo stesso modo sia il link al sito che il path di una risorsa. Credits: bleepingcomputer.com
La chat di Zoom tratta allo stesso modo sia il link al sito che il path di una risorsa. Credits: bleepingcomputer.com

Se l’utente clicca sul secondo link, Windows cerca di aprirlo utilizzando il protocollo SMB (Server Message Block), che viene usato per fornire accesso condiviso a file, device (ad esempio stampanti) o porte tra i nodi di una rete. Per fare ciò Windows invia al server lo username e l’hash della password, dal quale si può facilmente arrivare alla password usando dei tool disponibili online.

Ad un hacker basterebbe inviare un URL alla vittima e convincerlo a cliccarlo per ottenere le sue credenziali. Con la stessa tecnica è inoltre possibile far eseguire ad un utente un programma installato sulla propria macchina, senza che Windows chieda conferma dell’esecuzione.

È infatti sufficiente specificare il path come DOS Device path per aprire un’applicazione senza che l’utente debba prima confermarlo. L’esecuzione è in questo caso locale e non remota; nel secondo caso il Mark of the Web impedirebbe l’esecuzione diretta dell’applicazione.

Cliccando sul link la calcolatrice viene aperta senza alcuna conferma da parte dell'utente. Credits: bleepingcomputer.com
Cliccando sul link la calcolatrice viene aperta senza alcuna conferma da parte dell’utente. Credits: bleepingcomputer.com

In attesa di una patch di sicurezza, oltre ovviamente a non cliccare alcun link inviato da persone al di fuori della propria organizzazione o cerchia di amici, è possibile attivare una Group Policy per impedire l’invio delle proprie credenziali al server.

Per abilitarla occorre andare nell’editor dei criteri di gruppo, poi cliccare su Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Opzioni di sicurezza. A questo punto nel pannello che si sarà aperto sulla destra cercate “Sicurezza di rete: limitazione di NTLM: traffico NTLM in uscita verso server remoti“, fate doppio click sulla voce e impostate “Rifiuta tutto”.

La risposta dell’azienda

Il team di Zoom ha prontamente rilasciato una dichiarazione sul proprio blog riguardante la vulnerabilità. Il programma prevede che per i prossimi tre mesi gran parte delle risorse vengano concentrate sull’area della sicurezza. Saranno inoltre effettuati degli white box penetration test. Questi test, contrariamente ai black box in cui l’hacker non ha alcuna conoscenza del sistema target, forniscono al tester accesso completo al codice sorgente e alla documentazione del sistema.

Dalla prossima settimana, inoltre, tutti i mercoledì alle 10 (le 19:00 in Italia), sarà possibile seguire dei Webinar riguardanti gli update di sicurezza del software.

Thanks to bleepingcomputer.com and securityaffairs.co

Grazie per essere arrivato fin qui

Per garantire lo standard di informazione che amiamo abbiamo dato la possibilità ai nostri lettori di sostenerci, dando la possibilità di:
- leggere tutti gli articoli del network (10 siti) SENZA banner pubblicitari
- proporre ai nostri team le TEMATICHE da analizzare negli articoli

2 COMMENTI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here

Marina Londei
Laureata in Ingegneria e Scienze Informatiche, unisco la passione per la scrittura al mio lavoro.