هک Zoom و ربودن کلمات عبور Windows از راه دورارسال شده توسط در ۱۵ فروردین ۱۳۹۹

zoom-hacking

zoom-hacking


Zoom بیش از نه سال است که فعالیت می کند، اما پاسخ آنها به نیاز فوری به یک نرم افزار کنفرانس ویدئویی با کاربرد آسان در طول همه گیری کرونا ویروس، باعث شد این کمپانی یک شبه به یکی از محبوب ترین ابزار های ارتباطی برای میلیون ها نفر در سراسر جهان تبدیل شود.

 

بدون شک، نرم افزار Zoom یک راه حل کارآمد برای کنفرانس های آنلاین ویدئویی است که به مردم کمک می کند تا در طول قرنطینه خانگی، به ارتباطات اجتماعی خود ادامه دهند، اما هنوز هم بهترین انتخاب برای همه نیست – به خصوص کسانی که واقعاً به حریم شخصی و امنیت خود اهمیت می دهند.

 

به گفته کارشناس فضای مجازی g0dmode_@، نرم افزار کنفرانس ویدیویی Zoom، در نسخه ویندوزی خود، در برابر حمله ‘UNC path injection‘ آسیب پذیر است که می تواند به مهاجمین از راه دور اجازه دهد تا رمزعبور ورود به سیستم ویندوز را به سرقت برده و حتی دستورات دلخواه را بر روی سیستم های قربانیان اجرا کنند.

 

عاملی که حملات این چنین را امکان پذیر می کند، بدلیل پشتیبانی ویندوز از remote UNC paths است که امکان تبدیل URI های به طور بالقوه ناامن به hyperlink را از طریق پیام های چت به یک گیرنده در یک چت شخصی یا گروهی را می دهد.

 

هک Zoom و ربودن کلمات عبور Windows از راه دور

این رخنه توسط دو محقق امنیتی Matthew Hickey و Mohamed Baset اثبات و تایید شده است. اولین سناریوی حمله، استفاده از روش SMBRelay است که شامل سوء استفاده از امکانی است که در آن، زمانی که کاربر برای اتصال و یک میزبان برای دانلود یک فایل تلاش می کند، ویندوز به طور خودکار نام کاربری و رشته هش NTLM رمز عبور به سرور SMB راه دور را در معرض دید قرار می دهد.

 

برای سرقت اطلاعات ورود به سیستم یک قربانی، تنها کاری که مهاجم باید انجام دهند ارسال نشانی URL دستکاری شده از طریق رابط چت به قربانی است. به عنوان مثال: (i.e., \\x.x.x.x\abc_file) 

 

پس از کلیک قربانی بر روی URL مخرب، این حمله در نهایت به مهاجم اجازه می دهد تا SMB share را کنترل کرده و بدون اطلاع کاربر، داده های تأیید اعتبار ویندوز قربانی را به طور خودکار ضبط کند.

 

لازم به ذکر است، گذرواژه‌های ضبط شده بصورت متن آشکار (plaintext) نیستند. این گذرواژه ها توسط سیستم NTLM رمزگذاری شده اند، اما رمزعبورهای ضعیف ممکن است با استفاده از ابزارهای کرک پسورد مانند HashCat یا John Ripper به راحتی در عرض چند ثانیه کرک شوند. 

 

در محیط های اشتراکی، مانند فضای اداری، رمز ورود به سیستم ویندوز را می توانید بلافاصله برای به خطر انداختن سایر کاربران یا منابع IT استفاده کنید و حملات بیشتری انجام دهید.

 

بهره برداری از آسیب پذیری Zoom 

با استفاده از آسیب پذیری های موجود در این نرم افزار، علاوه بر سرقت رمزعبور کاربران ویندوز، می توان برای اجرای نرم افزارهایی که در حال حاضر بر روی سیستم قربانی موجود است و یا اجرای کدهای دلخواه و دستکاری سیستم قربانی از راه دور استفاده کرد، که این سناریو نیز توسط Tavis Ormandy، محقق امنیتی گوگل تأیید شده است.

 

zoom-hacking-software

 

بر اساس آنچه که محقق امنیتی گوگل، Ormandy ارائه داده است، می توان از طریق آسیب پذیری تزریق مسیر UNC در Zoom برای اجرای batch script که حاوی دستورات مخرب است را بدون اطلاع کاربر از دایرکتوری دانلود پیش فرض ویندوز استفاده کرد. 

 

باید توجه داشت که موفقیت سناریوی دوم حمله به این واقعیت متکی است که مرورگرهای در حال اجرا بر روی سیستم عامل ویندوز به طور خودکار دانلود های خود را در یک پوشه پیش فرض ذخیره می کنند، که می توان از آن سوء استفاده کرد تا ابتدا کاربر را برای دانلود اسکریپت مخرب ترغیب و سپس با استفاده از آسیب پذیری موجود در Zoom، اسکریپت را راه اندازی کرد و دسترسی بیشتری بدست آورد. 

 

لازم به ذکر است، برای بهره برداری از این آسیب پذیری، مهاجم باید از نام کاربری ویندوز قربانی آگاه باشد که البته با استفاده از اولین حمله SMB Relay به راحتی می توان آن را بدست آورد.

 

علاوه بر این، یکی دیگر از محققان امنیتی با نام ‘pwnsdx’ در حساب توییتر خود ترفند دیگری به اشتراک گذاشته است که می تواند به مهاجمان این اجازه را بدهد تا پیوندهای مخرب را هنگام نمایش سمت گیرندگان پنهان کنند، که به طور بالقوه باعث می شود این امر قانع کننده تر و کاربردی تر به نظر برسد.

 

کاربران Zoom چگونه خود را از خطر حفظ کنند؟

درحال حاضر این آسیب پذیری به تیم توسعه دهنده Zoom اعلام شده است، اما از آنجایی که این آسیب پذیری هنوز برطرف نشده است، به کاربران توصیه می شود به جای نصب اختصاصی این نرم افزار بر روی سیستم های خود، از یک نرم افزار جایگزین کنفرانس ویدیویی استفاده کنند یا از نسخه تحت وب Zoom در مرورگرهای وب خود استفاده کنند.

 یک روز پس از انتشار این گزارش، Zoom بدلیل نقص حریم خصوصی، از کاربران خود عذرخواهی کرده و برای برآوردن انتظارات امنیتی و جلوگیری از نقض حریم خصوصی، نسخه جدیدی را منتشر کرده است. این نرم افزار به منظور ترمیم چندین مسئله امنیتی اخیر از جمله تزریق مسیر UNC منتشر شده است. 

 

برخی از بهترین نرم افزارهای ویدئویی کنفرانس و گپ جایگزین:

windows-security

 

علاوه بر استفاده از یک رمزعبور قوی، کاربران ویندوز همچنین می توانند تنظیمات خط مشی امنیتی را تغییر دهند تا سیستم عامل از انتقال خودکار اعتبار NTLM خود به یک سرور SMB از راه دور را محدود کند.

 

 

منبع خبر: thehackernews.com

اخبار

هک Zoomهک زومهک کنفرانس ویدیویی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پنج × 3 =