Con il Coronavirus nel pieno della diffusione cresce l’utilizzo di software per videoconferenze, come Skype, Hangout, Teams o Zoom. Proprio quest’ultimo è al centro di vulnerabilità scoperta pochi giorni fa che permetterebbe di rubare le password degli utenti.
Il bug, riportato da BleepingComputer, è attualmente sotto indagine dal team di Zoom, che ha anche lanciato un programma di bug bounty.
Il client Zoom di Windows si è rivelato essere vulnerabile alle UNC path injection, come individuato dal ricercatore di sicurezza _godmode su Twitter. Gli indirizzi UNC (Universal Naming Convention) sono i path ai file utilizzati nei sistemi Windows, ad esempio \\host-name\folder-name\\object-name. Questi percorsi, se copiati nella chat di Zoom, vengono trattati come dei link cliccabili.
Se l’utente clicca sul secondo link, Windows cerca di aprirlo utilizzando il protocollo SMB (Server Message Block), che viene usato per fornire accesso condiviso a file, device (ad esempio stampanti) o porte tra i nodi di una rete. Per fare ciò Windows invia al server lo username e l’hash della password, dal quale si può facilmente arrivare alla password usando dei tool disponibili online.
Ad un hacker basterebbe inviare un URL alla vittima e convincerlo a cliccarlo per ottenere le sue credenziali. Con la stessa tecnica è inoltre possibile far eseguire ad un utente un programma installato sulla propria macchina, senza che Windows chieda conferma dell’esecuzione.
È infatti sufficiente specificare il path come DOS Device path per aprire un’applicazione senza che l’utente debba prima confermarlo. L’esecuzione è in questo caso locale e non remota; nel secondo caso il Mark of the Web impedirebbe l’esecuzione diretta dell’applicazione.
In attesa di una patch di sicurezza, oltre ovviamente a non cliccare alcun link inviato da persone al di fuori della propria organizzazione o cerchia di amici, è possibile attivare una Group Policy per impedire l’invio delle proprie credenziali al server.
Per abilitarla occorre andare nell’editor dei criteri di gruppo, poi cliccare su Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Opzioni di sicurezza. A questo punto nel pannello che si sarà aperto sulla destra cercate “Sicurezza di rete: limitazione di NTLM: traffico NTLM in uscita verso server remoti“, fate doppio click sulla voce e impostate “Rifiuta tutto”.
Il team di Zoom ha prontamente rilasciato una dichiarazione sul proprio blog riguardante la vulnerabilità. Il programma prevede che per i prossimi tre mesi gran parte delle risorse vengano concentrate sull’area della sicurezza. Saranno inoltre effettuati degli white box penetration test. Questi test, contrariamente ai black box in cui l’hacker non ha alcuna conoscenza del sistema target, forniscono al tester accesso completo al codice sorgente e alla documentazione del sistema.
Dalla prossima settimana, inoltre, tutti i mercoledì alle 10 (le 19:00 in Italia), sarà possibile seguire dei Webinar riguardanti gli update di sicurezza del software.
Thanks to bleepingcomputer.com and securityaffairs.co