Covid-19 küresel salgını nedeniyle çok sayıda çalışan, ofisini evine taşımış durumda. Bundan dolayı ortak çalışma, iletişim ve video konferans araçlarının kullanımında büyük bir artış gözleniyor. Videolu görüşme yazılımı Zoom da bunlardan biri, ancak yazılımdaki ciddi güvenlik zaafları, sorunlara yol açmaya devam ediyor.
Yeni ortaya çıkan bir güvenlik açığı, Zoom'un sohbet işlevinin UNC ve URL bağlantılarını otomatik olarak tıklanabilir hale getirmesi. Ancak UNC dizileri, Windows ağ konumlarına dönüşebildiğinden, Windows oturum bilgilerini elde etmek için kullanılabiliyor.
Kullanıcı, söz konusu bağlantıya tıkladığında işletim sistemi, uzak siteyle bağlantı kurmaya çalışıyor ve bu sırada kullanıcının oturum açma adını, NTLM parola hash'ını gönderiyor. Bu bilgiler, hacker'lar tarafından tekrar parolaya dönüştürülebiliyor. İlk olarak güvenlik araştırmacısı Mitch tarafından fark edilen açık, daha sonra bir başka güvenlik araştırmacısı olan Matthew Hickey tarafından başarıyla tekrarlandı ve sergilendi.
Hi @zoom_us & @NCSC - here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— Hacker Fantastic (@hackerfantastic) March 31, 2020
Hickey'e göre UNC bağlantıları, istemcinin bilgisayarındaki programları başlatmak için de kullanılabiliyor. Benzer bir davranışın macOS'ta da olduğu, ancak daha çok kullanıcı etkileşimi gerektirdiği belirtiliyor.
Zoom, henüz açıkla ilgili herhangi bir açıklamada bulunmadı. Zoom'da konuştuğunuz kişilerin bilgilerinizi çalmak için böyle bir yola başvurma ihtimali düşük, ancak yine de ortada kapatılması gereken ciddi bir güvenlik açığı var.