Aplikasi Zoom untuk Windows ditemukan rentan terhadap injeksi pada jalur UNC dalam fitur obrolan. Kerentanan dalam Zoom ini memungkinkan penyerang mencuri password atau akun Windows pengguna yang mengklik tautan dalam obrolan.
Saat mengirim pesan obrolan, URL apa pun yang dikirim dalam obrolan aplikasi Zoom akan dikonversi menjadi hyperlink sehingga anggota lain dapat mengkliknya untuk membuka halaman web di browser default pengguna.
@ _g0dmode menemukan masalah bahwa aplikasi Zoom akan mengubah jalur UNC jaringan Windows menjadi tautan yang dapat diklik dalam pesan obrolan juga.
Jika pengguna mengklik tautan jalur UNC, Windows akan berusaha untuk terhubung ke situs menggunakan protokol SMB untuk membuka file remote.
Secara default Windows akan mengirimkan nama login pengguna dan hash password NTLM mereka, yang dapat dipecahkan menggunakan alat gratis seperti Hashcat untuk mendekripsi password pengguna.
Hi @zoom_us & @NCSC – here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— Hacker Fantastic (@hackerfantastic) March 31, 2020
Selain pencurian akun Windows, Hickey mengatakan bahwa injeksi UNC juga dapat digunakan untuk meluncurkan program di komputer lokal ketika tautan diklik.
Hickey menggunakan jalur UNC ke \\127.0.0.1, membuat file yang dieksekusi darinya memiliki Mark-of-The-Web (MoTW). Ini akan menyebabkan Windows menampilkan prompt yang menanyakan apakah pengguna ingin menjalankan program atau tidak.
Peneliti keamanan Google Tavis Ormandy mengilustrasikan penggunaan jalur perangkat DOS dapat digunakan untuk membuka aplikasi tanpa konfirmasi pengguna, hal ini dikarenakan file executable adalah file lokal, maka tidak akan menjadi MoTW.
That's just MoTW, I've verified it works. No prompts required. I think someone could realistically click on that. pic.twitter.com/VwYGB5il48
— Tavis Ormandy (@taviso) April 2, 2020
Pihak Zoom telah diberi tahu tentang kerentanan ini, tetapi karena kerentanan belum diperbaiki, pengguna disarankan untuk menggunakan perangkat lunak konferensi video alternatif atau membuka Zoom di browser web.
“Zoom memastikan privasi dan keamanan pengguna dan data pengguna sangat penting. Kami menyadari masalah UNC ini dan saat ini kami berupaya mengatasinya,” kata pihak Zoom.
Baca juga: “Hacker Manfaatkan Popularitas Aplikasi Zoom Untuk Menyebarkan Malware“
https://errorcybernews.id/2020/04/01/hacker-manfaatkan-popularitas-aplikasi-zoom-untuk-menyebarkan-malware/
Selain selalu menggunakan kata sandi yang aman, pengguna Windows juga dapat mengubah pengaturan kebijakan keamanan untuk membatasi sistem operasi agar tidak secara otomatis meneruskan akun NTML ke server remote.
