Še dve, to pot resnejši ranljivosti v Zoomu

Matej Huš

1. apr 2020 ob 21:07:37

Množičen prehod na delo in učenje od doma, kar terja uporabo programov za videokonference, vsak dan razkrije kakšno ranljivost v tej programski opremi. V tem množičnem testiranju prednjači Zoom, v katerem so po včerajšnjem razkritju, da šifriranje v resnici ni tako trdno, kot bi verjeli iz oglasov, sedaj našli še dve precej bolj praktični luknji.

Zaradi težave v nastavitvah Company Directory se lahko zgodi, da osebni podatki uporabnikov Zooma (elektronski naslov in fotografija) pridejo v roke nepooblaščenim osebam. Omenjena funkcija omogoča enostavno iskanje ljudi, ki se prijavo z elektronskim naslovom, ki pripada isti domeni, če je ta od nekega podjetja. Toda nekaterim uporabnikom se je to zgodilo, tudi ko so se prijavili z domačimi elektronskimi naslovi, kjer se običajno uporablja domena ponudnika dostopa do interneta ali ponudnika elektronskega predala. Nenadoma so se znašli v skupinah več tisoč uporabnikov, kjer so vsi videli osebne podatke drug drugega.

Napaka je na nek način razumljiva. Zoom pozna glavne ponudnike elektronskih predalov (npr. Google, Yahoo ali Hotmail), kakšnih bolj eksotičnih pa ne. V tem primeru predpostavi, da gre za zaposlene v istem podjetju, ki se lahko spoznajo med seboj. Takim prikaže imena, naslove, sliko in omogoči videoklic. V konkretnem primeru je šlo za domene xs4all.nl, dds.nl in quicknet.nl, ki pripadajo nizozemskim ponudnikom dostopa do interneta, ki nudijo tudi elektronske predale.

Druga ranljivost pa je morebiti še resnejša, saj omogoča krajo prijavnih podatkov za operacijski sistem. Če napadalec v besedilnem pogovoru žrtvi pošlje poseben niz, lahko povzroči precej škode. Ker program avtomatično pretvarja nize, ki so lahko naslov, v hiperpovezave, se lahko na tak način podtakne povezavo, ki pošlje zgoščeno vrednost NTLM, ki jo napadalec prestreže in uporabil. V praksi to pomeni, da lahko na nekaterih omrežjih napadalci s klikom uporabnika na povezavo dobijo podatke za dostop do sistema in mrežnih virov (pass-the-hash attack). Napad deluje le na Windows prek vrat 445.