Višestruke ranjivosti u Zoom platformi
Zoom je platforma za video konferencije. Iako je ova platforma stara devet godina doživjela je eksponencijalan rast broja korisnika zbog pandemije korona virusa. Zbog velikog broja novih korisnika ova platforma je privukla pažnju kako hakera tako i istraživača iz oblasti sajber bezbjednosti. Napadači koriste popularnost ove platforme kako bi zakupili internet adrese koje imaju slično ime. Od prvog januara do danas registrovano je preko 1 700 domena koji imaju riječ Zoom. Sličan je slučaj i sa drugim platformama za video konferencije.
Zoom je privukao pažnji i istraživača koji su otkrili više ranjivosti u Zoom aplikaciji za Windows i macOS i određene probleme sa samom platformom. FBI je objavio preporuke koje se odnose na tzv. Zoombombing, gdje se ne pozvani subjekti priključe sastanku kako bi prisluškivali razgovore i češćem slučaju narušavali sastanke sa reklamama ili pornografskim sadržajem. Zoom je ranije objavio ažuriranja koja onemogućavaju nepozvanim korisnicima da se pridrže sastancima.
Intercept je objavio članak u kome tvrde da Zoom, uprkos tvrdnjama, ne koristi End-to-End enkripciju za zaštitu podataka korisnika. Pored toga Zoom je prošle sedmice objavio ažuriranje za iOS verziju nakon što je otkriveno da, Zoom za iOS, posjeduje modul koji omogućava dijeljenje korisničkih podatka sa Facebook-om.
Zoom za Windows
Istraživač sa twitter korisničkim imenom @_g0dmode objavio je dokaze da je Zoom za Windows ranjiv na injekciju UNC putanja. UNC (Universal Naming Convention) je standardizovan način za identifikaciju resursa na mreži, kao što su server i štampači. Na Windows platformama ima oblik \\server\putanja, dok na Unix (uključujući Linux i macOS) platformama ima oblik //server/putanja. Eksploatisanje ove ranjivosti omogućava udaljenim napadačima da ukradu pristupne kredencijale. Eksploatacija se vrši specijalno napravljenim UNC linkovima koje napadač šalje preko četa Zoom platforme.
Prvi scenario napada koristi tzv. SMBRelay tehniku. Kod ovog scenarija napadač ima svoj SMB (Server Message Block) server na koji putem UNC linka preusmjeri korisnika. Windows podrazumijevano šalje korisničko ime i lozinku u obliku heš obliku. Heševi nedovoljno složenih lozinki se mogu razbiti odgovarajućim softverima za samo par sekundi. Dobijanjem pristupnih kredencijala napadač ima mogućnost za lansiranje daljih napada.
Istraživač iz Google-a pod nazivom Travis Ormady potvrdio je da se ova ranjivost može iskoristiti i za udaljeno izvršenje proizvoljnih komandi. Drugi scenario omogućava preuzimanje .bat skripte i pokretanje iste korišćenjem ranjivosti u Zoom softveru. Kako bi ovaj napad radio potrebno je znati korisničko ime, koje se može dobiti korišćenjem SMBRelay napada iz prvog scenarija.
Zoom za macOS
Pored ovih ranjivosti otkrivene su dvije ranjivosti u Zoom softveru za macOS platformu. Prva ranjivost omogućava podizanje nivoa privilegija na root, dok druga omogućava pristup mikrofonu i kameri. Ove ranjivosti su otkrivene od strane istraživača pod imenom Patrick Wardle iz Jamf kompanije. Ove ranjivosti su manje ozbiljne, jer podrazumjevaju da napadač ima nalog na računaru, tj. da je računar već kompromitovan. Prva ranjivost je posljedica toga da instalacioni proces Zoom-a za macOS koristi API funkciju AuthorizationExecuteWithPrivileges bez interakcije sa korisnikom. Apple je ovu funkciju označio kao depricated, što znači da se se ne treba koristiti i da će se u narednim verzijama API-a u potpunosti omogućiti. Tokom instalacionog procesa ne vrši se validacija binarne datoteke koja se instalira, te je moguće modifikovati binarnu datoteku da se pokrene pod root privilegijama.
Druga ranjivost u Zoom-u za macOS se oslanja na mogućnost Zoom-a da vrši injekciju tuđih biblioteka u svoju aplikaciji. Napadač bi mogao injektovati malicioznu datoteku u Zoom-ov procesni adresni prostor. Ova biblioteka bi naslijedila privilegije koje ima Zoom aplikacija, a pošto Zoom zahtijeva pristup kameri i mikrofonu, napadač bi im mogao proizvoljno pristupati.
Izjava CEO Zoom-a
Eric S. Yuan osnivač i izvršni direktor Zoom-a prvog aprila je objavio izjavu u kojoj između ostalog tvrdi da su preduzete sljedeće mjere:
- 20.03.2020. godine – Objavljen je blog post koji treba da pomogne sa Zoombombing-om.
- 27.03.2020. godine – uklonjen je Facebook SDK iz Zoom-a za iOS (omogućava dijeljenje podatka sa Facebook-om).
- 29.03.2020. godine – ažurirana je politika privatnosti kako bi bila jasnija i transparentnija oko sakupljanja podataka. Politika tvrdi da podaci nisu i neće biti prodavani trećim licima.
- 01.04.2020. godine:
- Objavljen je blog post koji iznosi činjenice oko enkripcije.
- Uklonjena je funkcionalnost „praćenja pažnje“ korisnika.
- Objavljene su zakrpe za dva macOS problema.
- Objavljeno je ažuriranje za Windows koje uklanja probleme sa UNC linkovima.
Preporuke
- Ukoliko to nije potrebno izbjegavati verzije za Windows i macOS, umjesto toga koristiti veb verziju Zoom-a.
- Prilikom korišćenja veb verzije Zoom-a obavezno provjeriti adresu kojoj pristupate, kako ne bi ste posjetili malicioznu stranicu sa sličnim imenom.
- Izbjegavati klikanje na linkove i otvaranje datoteka koji su poslani od strane nepoznatih lica.
- Redovno ažurirati Zoom klijente.
- Koristiti složene lozinke.
- Kako bi se spriječilo slanje Windows kredencijala SMBRelay napadom potrebno je ili omogućiti politiku pod nazivom Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers ili postaviti RestrictSendingNTLMTraffic vrijednostu na 2 u Windows Registry pod ključem HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
- Kako bi se spriječio Zoombombing:
- Ne postavljati sastanke ili virtuelne učionice kad javne.
- Ne dijeliti linkove za sastanke na socijalnim mrežama.
- Opciju sceen-sharing postaviti na „Host Only“ osim ako je drugačije potrebno.
Izvor:
