发布时间:2020-04-07 11:02:51,来源:恒安嘉新
一、基本情况
近日,Zoom客户端被爆出了存在UNC路径注入漏洞,攻击者利用该漏洞,可在未授权的情况下获取用户敏感信息。目前,Zoom公司暂未发布官方补丁。
二、攻击原理
Zoom是一款多人云视频会议软件,为用户提供兼备高清视频会议与移动网络会议功能的云视频通话服务。用户可通过手机、平板电脑、PC与工作伙伴进行多人视频及语音通话、屏幕分享、会议预约管理等商务沟通。
2020年4月,某网络安全专家最新发现(且得到多位研究人员证实),Windows的Zoom客户端容易受到UNC路径注入漏洞的攻击,该漏洞可能使远程攻击者窃取Windows系统用户的登录凭据。其中Windows系统在尝试连接和下载托管文件时,会自动向远程SMB服务器公开用户的登录用户名和NTLM密码哈希。未经身份验证的攻击者利用该漏洞,向目标用户发送精心构造的恶意请求,即可获取敏感信息。被盗的登录详细信息可以立即重用,来破坏其他用户或IT资源,并发起进一步的攻击。
三、影响范围
漏洞影响的产品版本包括:
Zoom客户端目前所有版本
四、处置建议
(一)官方建议
建议用户及时关注网站首页,并立即升级至最新版本:
https://www.zoomvideo.cn/download/
(二)临时防护措施
可采取下列临时防护措施:通过组策略来限制向远程服务器传出 NTLM 通信:计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制NTLM -> 发送到远程服务器的 NTLM 通信(然后全部配置为拒绝)。
(三)其他建议
另外,据其他方面建议,用户还可采取的安全防御措施包括但不限于:
1. 了解使用Zoom时的隐私注意事项
2. 为Zoom会议添加密码
创建新的Zoom会议时,Zoom将自动启用“需要会议密码”设置并分配一个随机的6位数字密码。尽量不要取消选中此选项,因为这样做将允许任何人未经许可访问会议。
3. 使用等候室功能
Zoom允许主持人启用等候室功能,该功能可以防止用户未经主持人允许就进入会议。可以在会议创建期间通过以下方式启用此功能:打开高级设置,选中“启用等候室”设置,然后单击“保存”按钮。
4. 及时更新Zoom客户端
最新的Zoom更新默认情况下启用会议密码,并增加了对扫描会议ID的人员的保护。
5. 不要分享个人的会议ID
每个Zoom用户都会获得一个与其帐户相关联的永久“个人会议ID”(PMI)。如果将个人的PMI交给其他人,他们将始终能够检查是否有正在进行的会议,如果未配置密码,则有可能加入会议。
6. 禁用参与者屏幕共享
为防止会议被他人劫持,应防止主持人以外的其他参与者共享他们的屏幕。作为主持人,可以在会议中通过单击“缩放”工具栏中“共享屏幕”旁边的向上箭头,然后单击“高级共享选项”来完成此操作,如下所示。
7. 每个人加入完毕后锁定会议
如果每个人都参加了会议,并且没有邀请其他人,则应该锁定会议,这样其他人就不能参加。为此,请单击“缩放”工具栏上的“管理参与者”按钮,然后在“参与者”窗格底部选择“更多”。然后选择“锁定会议”选项,如下所示。
8. 不要发布Zoom的会议图片
如果为Zoom会议拍照,那么看到此照片的任何人都将能够看到其相关会议ID,然后可以尝试进入该会议。攻击者可能会使用它来尝试通过显示的ID手动加入来获得未经授权的会议访问权限。
9. 不要发布会议的公共链接
创建Zoom会议时,切勿公开发布会议链接。 这样做会使诸如Google之类的搜索引擎对链接建立索引,并使搜索它们的任何人都可以访问它们。
10. 警惕以Zoom为主题的恶意软件
自冠状病毒爆发以来,制造恶意软件、网络钓鱼诈骗和其他与疫情相关的攻击的威胁参与者数量迅速增加,这包括伪装为Zoom客户端安装程序的恶意软件和广告软件安装程序。
五、参考链接
1) https://www.zoomvideo.cn/download/
2) https://www.cnbeta.com/articles/tech/962537.htm