Zoom apresenta falhas e compromete sigilo das reuniões !

Zoom apresenta falhas e compromete sigilo das reuniões ! Existem atualmente dois problemas reportados que envolvem o Zoom: o Zoom Boombing e SMBRealy explorando falha que expõe automaticamente o nome de usuário de login do usuário e os hashes de senha NTLM a um servidor SMB remoto.

O Zoom existe há nove anos, mas a exigência imediata de um aplicativo de videoconferência fácil de usar durante a pandemia de coronavírus durante a noite o tornou uma das ferramentas de comunicação mais favoritas para milhões de pessoas em todo o mundo.

Sem dúvida, o Zoom é uma solução eficiente de videoconferência online que ajuda as pessoas a permanecerem socialmente conectadas durante esses tempos sem precedentes, mas ainda não é a melhor opção para todos – especialmente para aqueles que realmente se preocupam com sua privacidade e segurança.

“Existem dois problemas envolvendo o Zoom”

Existem atualmente dois problemas reportados que envolvem o Zoom: o primeiro é chamado de “Zoom Boombing” e se relaciona a atacante que entram nas reuniões e “detonam” com palavrões e outras interferência, forçando o encerramento da reunião; o segundo, e mais técnico, envolve uma técnica de hacking de SMBRelay que rouba a credencial do usuário e pode ser bastante destrutivo.

Zoom Boombing

À medida que um grande número de pessoas recorre às plataformas de videoconferência (VTC) para se manter conectado após a crise do COVID-19, surgem relatos de seqüestro de VTC (também chamado de “zoom bombing”) em todo o país. O FBI recebeu vários relatos de conferências sendo interrompidas por imagens pornográficas e / ou de ódio e linguagem ameaçadora.

Em 30 de março, por exemplo, estranhos não convidados derrubaram uma reunião do Zoom com ataques cibernéticos. Quando o apresentador começou a falar sobre uma informação errada sobre coronavírus postada no Reddit, Facebook e Twitter, um “Zoom boombing” se iniciou em rabiscou toda a tela , forçando a reunião a terminar.

Duas escolas em Massachusetts relataram os seguintes incidentes:

  • No final de março de 2020, uma escola secundária de Massachusetts relatou que, enquanto um professor estava realizando uma aula online usando o software de teleconferência Zoom, um indivíduo não identificado entrou na sala de aula. Esse indivíduo gritou palavrões e depois gritou o endereço residencial do professor no meio da instrução.
  • Uma segunda escola com sede em Massachusetts relatou uma reunião do Zoom sendo acessada por um indivíduo não identificado. Neste incidente, o indivíduo estava visível na câmera de vídeo e exibiu tatuagens de suástica.

Problemas de hackers com zoom como esse estão acontecendo em todo o mundo, desde reuniões de alcoólatras anônimos pela Internet até reuniões sensíveis de alto nível do governo. 

“se uma reunião do Zoom for definida como pública, poderá ser acessada por qualquer pessoa”

Muitos incidentes de “Zoom boombing” parecem ser aleatórios, os hackers obtêm acesso a uma reunião do Zoom e tentam interromper o bate-papo por vídeo e incomodar os participantes gritando palavrões ou insultos raciais ou colocando imagens perturbadoras ou ofensivas em seu feed de vídeo.

A maioria dos ataques de “Zoom boombing” parece não ser o produto de falhas no código do Zoom, mas a higiene geral da segurança cibernética dos usuários e falhas ns configurações de privacidade do Zoom, pois se uma reunião do Zoom for definida como pública, poderá ser acessada por qualquer pessoa com o link correto

 

Como se proteger do Zoom Boombing

Existem várias maneiras importantes, principalmente diretas, de proteger suas reuniões. A Fortune consultou a Zoom que recomendou aos usuários que leiam este guia detalhado , que abrange as precauções para manter suas reuniões seguras.

De forma geral recomenda-se que :

    • Os usuários do Zoom não devem compartilhar publicamente os links das reuniões. Essa talvez seja a precaução mais óbvia que você pode tomar. Em vez de postar um link de reunião em um grupo do Facebook ou em um tweet promocional, distribua informações por um método mais privado, como email.
    • Segundo, defina suas reuniões como “particulares”. O zoom agora define todas as novas reuniões como “particulares” por padrão, exigindo que os participantes forneçam uma senha para acesso. Mas os usuários geralmente optam por tornar públicas as reuniões por conveniência. Dada a onda de ataques com zoom, o inconveniente de exigir uma senha provavelmente vale a pena para manter sua reunião segura.
    • Não use seu ID de reunião pessoal. Todo usuário registrado do Zoom possui um ID de reunião pessoal, vinculado ao que é essencialmente uma sala de reunião virtual permanente. Como esse ID não muda, compartilhá-lo publicamente aumenta a chance de futuras reuniões usando seu ID pessoal serem bombardeadas com Zoom.
    • Compartilhe sua ID de reunião pessoal apenas com os contatos mais confiáveis.
    • Embora o Zoom solicite que você use seu ID pessoal para reuniões “instantâneas”, as reuniões agendadas usarão um ID de reunião único, reduzindo o risco. Se você está preocupado com o fato de já ter compartilhado seu ID de reunião pessoal de maneira insegura, é recomendado entrar em contato diretamente com o Zoom para que ele seja alterado.
    • Por fim, restrinja o compartilhamento de vídeo. Se o organizador da reunião for a única pessoa que precisa compartilhar vídeo, como em um seminário ou apresentação, o organizador deve alterar a configuração de compartilhamento de tela do Zoom para “Somente anfitrião”. 

 

SMBRelay

De acordo com o especialista em segurança cibernética @ _g0dmode , o software de videoconferência Zoom para Windows é vulnerável a uma vulnerabilidade de injeção clássica de caminho UNC que poderia permitir que atacantes remotos roubassem as credenciais de login do Windows das vítimas e até executassem comandos arbitrários em seus sistemas.

Esses ataques são possíveis porque o Zoom para Windows oferece suporte a caminhos UNC remotos, que convertem URIs potencialmente inseguros em hiperlinks quando recebidos via mensagens de bate-papo para um destinatário em um bate-papo pessoal ou em grupo.

SMBRelay

Confirmado pelo pesquisador Matthew Hickey e demonstrado por Mohamed Baset , o primeiro cenário de ataque envolve a técnica SMBRelay que explora o fato de que o Windows expõe automaticamente o nome de usuário de login do usuário e os hashes de senha NTLM a um servidor SMB remoto ao tentar conectar e baixar um arquivo hospedado em isto.

Para roubar credenciais de login do Windows de um usuário direcionado, tudo o que um invasor precisa fazer é enviar uma URL criada (por exemplo, \\ xxxx \ abc_file) a uma vítima por meio de uma interface de bate-papo.

Uma vez clicado, o ataque acabaria permitindo que o compartilhamento SMB controlado pelo invasor capturasse automaticamente os dados de autenticação do Windows, sem o conhecimento do usuário de destino.

A ser observado, as senhas capturadas não são texto simples; em vez disso, o NTLM faz o hash deles, um código fraco pode ser facilmente quebrado em segundos usando ferramentas de quebra de senha como HashCat ou John the Ripper.

Em um ambiente compartilhado, como espaço de escritório, as credenciais de logon roubadas do Windows podem ser reutilizadas imediatamente para comprometer outros usuários ou recursos de TI e lançar outros ataques.

Baixando e Iniciando Programas

Além de roubar credenciais do Windows, a falha também pode ser explorada para iniciar qualquer programa já presente em um computador de destino ou executar comandos arbitrários para comprometê-lo remotamente, confirmado pelo pesquisador de segurança do Google Tavis Ormandy.

Ormandy demonstrou como a falha na injeção de caminho UNC no Zoom também pode ser explorada para executar um script em lote – sem aviso – contendo comandos maliciosos quando chamados no diretório de download padrão do Windows.

O segundo cenário de ataque se baseia no fato de que os navegadores executados no sistema operacional Windows salvam automaticamente o download em uma pasta padrão, que pode ser abusada para enganar um usuário a baixar o script em lote e depois acioná-lo usando o bug de zoom.

Observe que, para explorar esse problema, o invasor deve estar ciente do nome de usuário do Windows para o usuário de destino, que, no entanto, pode ser obtido facilmente usando o primeiro ataque SMBRelay.

Além disso, outro pesquisador de segurança chamado ‘ pwnsdx ‘ no Twitter compartilhou outro truque com o site The Hacker News que poderia permitir que os invasores escondessem links maliciosos quando exibidos no final dos destinatários, potencialmente fazendo com que parecesse mais convincente e prático.

 

Como se proteger

O Zoom afrima que em 1º de Abril lançou uma correção par ao problema de UNC, por isto é recomenda a atualização do app, porém alguns pesquisadores afirmam que o problema não foi corrigido adequadamente , por isto, na dúvida uma alternativa seria usar um outro software de videoconferência ou o Zoom nos navegadores da Web em vez de instalar um aplicativo cliente dedicado em seus sistemas.
 

Zoom

Em um post do blog , o CEO Eric S. Yuan revelou que o Zoom assistiu a 200 milhões de participantes da reunião diária em março, um grande aumento em relação aos 10 milhões de usuários diários que recebeu em dezembro.

No entanto, ele admitiu que o trabalho para garantir o aplicativo não apresentava uma escala de crescimento semelhante e promete melhorar isso daqui para frente.

Nossa plataforma foi construída principalmente para clientes corporativos“, disse Yuan. “Não projetamos o produto com a previsão de que, em questão de semanas, todas as pessoas no mundo de repente trabalhariam, estudariam e socializariam em casa. Agora, temos um conjunto muito mais amplo de usuários que estão utilizando nosso produto de inúmeras maneiras inesperadas, apresentando-nos desafios que não prevíamos quando a plataforma foi concebida.

Nos próximos 90 dias, estamos comprometidos em dedicar os recursos necessários para melhor identificar, abordar e corrigir problemas de forma proativa“, acrescentou Yuan. “Também estamos comprometidos em ser transparentes durante todo esse processo.”

A equipe de engenharia inteira da Zoom agora se dedicará ao trabalho de proteção e segurança, com a empresa também planejando uma revisão “abrangente” de seus serviços, juntamente com terceiros.

A Zoom afirmou também que:

  • Vai ativar um congelamento de recursos, efetivamente imediatamente, e mudar todos os nossos recursos de engenharia para se concentrar em nossos maiores problemas de confiança, segurança e privacidade.
  • Está conduzindo uma revisão abrangente com especialistas de terceiros e usuários representativos para entender e garantir a segurança de todos os nossos novos casos de uso do consumidor.
  • Está Preparando um relatório de transparência que detalha informações relacionadas a solicitações de dados, registros ou conteúdo.
  • Vai aprimorando nosso atual programa de recompensas de bugs.
  • Vai Lançar um conselho CISO em parceria com os principais CISOs de todo o setor para facilitar um diálogo contínuo sobre as melhores práticas de segurança e privacidade.
  • Vai envolver uma série de testes simultâneos de penetração em caixas brancas para identificar e solucionar problemas.
  • E, a partir da próxima semana, vai organizar semanalmente seminários online, às quartas-feiras às 10h (horário de Brasília), para fornecer atualizações de privacidade e segurança à comunidade.

 

Fonte: The Hacker News & FBI & Fortune & Zoom & Tech Radar & News18 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!