В клиенте Zoom для Windows обнаружена уязвимость, позволяющая внедрять UNC-пути в функцию чата и похищать учётные данные пользователей Windows.

При отправке сообщений через чат Zoom все URL-адреса преобразуются в гиперссылки, позволяя другим участникам кликнуть на них и перейти на web-страницу. Zoom при этом преобразует сетевые и UNC-пути Windows в интерактивные ссылки. При нажатии на ссылку UNC-пути, Windows попытается подключиться к сайту, используя сетевой протокол SMB с целью открыть удаленный файл (ОС отправляет логин и хэш-пароль NTLM, которые можно взломать и раскрыть пароль пользователя).

ИБ-эксперт Мэтью Хикки протестировал UNC-инъекцию в Zoom и смог перехватить хэши паролей NTLM, отправленные на сервер ссылки.

Также инъекции UNC можно использовать для запуска ПО на локальном компьютере при нажатии на ссылку. Хакер может использовать путь устройства дисковой ОС для запуска приложения без запроса пользователя.

Разработчики Zoom уже работают над исправлением данной проблемы.

3 апреля, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.04.2024
Фишеры предлагают отменить «заявку на удаление Telegram»
19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
19.04.2024
Сразу несколько мессенджеров пропали из китайского App Store
18.04.2024
У нас есть GitHub дома. Вместо нацрепозитория готовое решение от вендора?
18.04.2024
Минэк создаст профильную комиссию по ИИ-расследованиям
18.04.2024
Видеоидентификация клиентов банков уже в этом году?
18.04.2024
Дано: смартфон. Форма: «Аквариус». Суть: «Лаборатория Касперского»
18.04.2024
Члены АБД утвердили отраслевой стандарт защиты данных

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных