Windows 10: le client Zoom peut divulguer vos identifiants de connexion réseau
Dans la foulée des erreurs de Zoom sur iPhone, un chercheur en sécurité a découvert que des attaquants peuvent utiliser la fonctionnalité de discussion de groupe du client Zoom Windows pour partager des liens qui divulgueront les identifiants réseau Windows de quiconque clique dessus.
Zoom fait face à une surveillance accrue car l’utilisation de l’application de vidéoconférence a augmenté pendant l’épidémie de coronavirus COVID-19.
La fonctionnalité de conversation de groupe permet aux utilisateurs d’envoyer des messages à d’autres participants à une réunion et convertit les URL en hyperliens pour que le destinataire ouvre une page Web dans un navigateur.
Mais comme le rapporte BleepingComputer, le client Zoom convertit non seulement les URL normales en un lien cliquable, mais également les chemins UNC ( Universal Naming Convention).
UNC est utilisé pour spécifier l’emplacement d’une ressource réseau, comme un fichier qui pourrait être hébergé sur un serveur SMB (Server Message Block) contrôlé par un attaquant.
Lorsque quelqu’un clique sur le lien du chemin UNC, Windows tente de se connecter au site distant à l’aide du protocole de partage de fichiers du réseau SMB. Par défaut, Windows envoie ensuite le login de connexion de l’utilisateur et le hash des identifiants NT Lan Manager (NTLM).
De plus, chaque fois qu’une connexion SMB est établie, elle peut entraîner une fuite de l’adresse IP, du nom de domaine, du nom d’utilisateur et du nom d’hôte du client.
Bien que le hash ne soit pas en texte brut, un très mauvais mot de passe peut être rapidement craqué en quelques secondes sur un ordinateur doté d’un GPU moyen en utilisant des outils tels que John the Ripper.
Le bug a été découvert par le chercheur en sécurité @ _g0dmode. Le chercheur britannique en sécurité Matthew Hickey a démontré que le problème d’injection UNC affectant le client Zoom peut être utilisé pour divulguer des informations d’identification à utiliser lors d’attaques de relais SMB ultérieures. Il a également découvert que le lien de chemin UNC peut être utilisé pour lancer un exécutable, bien que Windows affiche alors une alerte.
Hickey dit que le correctif de Zoom devrait impliquer de ne pas afficher les chemins UNC sous forme de liens hypertexte.
ZDNet a demandé à Zoom s’il avait l’intention de résoudre ce problème et mettra à jour l’article si la société répond.
Les instructions de Microsoft pour restreindre le trafic NTLM sortant vers des serveurs distants peuvent être mises en œuvre pour éviter les attaques de liaison UNC jusqu’à ce que Zoom diffuse un correctif.
Site: ZDNet.com
