Дистанционное обучение: В Zoom обнаружена уязвимость, способная привести к компрометации учетных записей Windows « Новини « Євро Освіта
: навігація :
Болонський процес
Оцінка якості освіти
Що таке рейтинг
Зовнішнє оцінювання
Рейтинги ЗВО України
Світові рейтинги ЗВО
Інформація
ЗВО України
ТОП-10 ЗВО України
Інформація для рейтингу
: сайт :
Карта сайту
Пошук по сайту
: пошук :
 
: фотогалерея :
Конференція Міжнародної обсерваторії з визначення університетських рейтингів (IREG-5),Берлін 2010 30-09-2010 8 марта 2010 в  Варшаве состоялся круглый стол Межнародной обсерватории по академических рейтингах и достижениям IREG-4 - 14-16 июня 2009 года, Астана, Казахстан
Новини
Дистанционное обучение: В Zoom обнаружена уязвимость, способная привести к компрометации учетных записей Windows
2-04-2020

В Zoom обнаружена уязвимость, способная привести к компрометации учетных записей Windows

Клиентская часть ПО для видеоконференцсвязи Zoom под Windows подвержена уязвимости UNC path injection, сообщает ресурс BleepingСomputer. В частности, проблема связана с чатом: клик по ссылке, присланной в чат, может привести к компрометации данных учетной записи пользователя в операционной системе и исполнению вредоносного кода на локальной машине.

В ходе видеоконференцсвязи пользователи Zoom могут не только общаться голосом, но и обмениваться сообщениями, документами или ссылками в чате. При отправке сообщения любой содержащийся в нем URL автоматически конвертируется в гиперссылку. Однако исследователь в области ИБ @_g0dmode обнаружил, что в гиперссылку конвертируются и UNC-пути.

Дистанционное обучение: В Zoom обнаружена уязвимость, способная привести к компрометации учетных записей Windows


Казалось бы, и что тут ужасного?

На самом деле, если пользователь кликнет по такой ссылке, Windows попытается установить соединение, используя протокол SMB. При этом Windows отсылает логин пользователя и NTLM хэш пароля. Далее можно восстановить пароль по хэшу, используя специализированные бесплатные утилиты типа hashcat.

BleepingComputer протестировали уязвимость и подтвердили возможность кражи хэшей паролей с ее помощью.

Кроме того, переход по вредоносному UNC-пути может привести к запуску стороннего ПО на локальной машине пользователя. Например, при клике на UNC-путь \\127.0.0.1\C$\windows\system32\calc.exe хост попытается запустить калькулятор. К счастью, в этом случае Windows, по крайней мере, запросит у пользователя разрешение на запуск исполняемого файла.

Дистанционное обучение: В Zoom обнаружена уязвимость, способная привести к компрометации учетных записей Windows


Что делать

Существует групповая политика, которая не позволяет автоматически передавать учетные данные NTML на удаленный сервер при переходе по UNC-пути. Она называется Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers, галочку можно поставить здесь:
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

В dropdown-меню выбираем Deny All

Дистанционное обучение: В Zoom обнаружена уязвимость, способная привести к компрометации учетных записей Windows


Надо иметь в виду, что для машин в домене эта политика создаст сложности с доступом к общим ресурсам по протоколу SMB. Если это проблема, то здесь написано, как добавлять исключения (статья на английском).

Если вы домашний пользователь Windows 10 и хотите обезопасить, например, свой личный компьютер, вам надо будет настроить эту политику с помощью реестра. Для этого надо открыть Редактор реестра под админской учетной записью, создать запись RestrictSendingNTLMTraffic в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 и установить ее значение на 2.


Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
«RestrictSendingNTLMTraffic»=dword:00000002



В итоге запись RestrictSendingNTLMTraffic будет выглядеть вот так:

Дистанционное обучение: В Zoom обнаружена уязвимость, способная привести к компрометации учетных записей Windows


Компьютер после этого перезагружать не обязательно.
Чтобы откатить все назад, достаточно просто удалить запись RestrictSendingNTLMTraffic.


Также, ресурс theintercept.com информировал, что Zoom уличили в отсутствии сквозного шифрования. Вместо него компания использует TLS




По информации:
bleepingcomputer.com,
habr.com





Додатково:

МОН: 6 квітня для учнів 5-11 класів з усієї країни стартує проєкт «Всеукраїнська школа онлайн»

: анонси :
: акценти :
: зовнішнє оцінювання :
: Популярне :
: наші дані :
Контакт:
тел.:
(044) 290-41-24
(044) 290-41-24 (*122)
факс:
(044) 290-41-24
м. Київ, вул. Смілянська, 4
Карта проїзду
e-mail: inf@euroosvita.net

При повному або частковому відтворенні інформації посилання на euroosvita.net обов'язкове у вигляді відкритого для пошукових систем гіперпосилання.
euroosvita.net не несе відповідальності за інформацію отриману з інших сайтів