Framgången för videokonferensappen Zoom i spåren av Coronapandemin tycks aldrig ta slut, inte heller upptäckterna av sårbarheter i den omsusade applikationen. Det tycks onekligen som att Zoom inte riktigt är moget för den anstormning av nya användare som nu kommer i allt högre takt. Säkerhetsanalytiker rapporterar om nya sårbarheter i Zoom i stort sett varje dag, vilket är en naturlig följd av att appen får allt fler ögon på sig.
Nu rapporterar anonyma säkerhetsanalytiker på Twitter om en ny bugg i Zoom som kan stjäla användarens Windowsinloggning – alltså användarnamnet och en hash av lösenordet, inte lösenordet i klartext. Problemet är att de flesta maskiner i ett Windowsnätverk accepterar så kallade NTLM-hashar och loggar in en maskin som presenterar en NTLM-hash. Detta kallas ibland för pass-the-hash-attacker.
En angripare kan komma åt Zoom-användarens användarnamn och NTLM-hashade lösenord genom att skicka en textsträng (i chatten) som representerar den lokala nätverksplats som användaren använder. Zoom tolkar och konverterar automatiskt denna så kallade UNC-sträng (Universal Naming Convention) till klickbara länkar. Om användaren så klickar på denna länk skickas användarnamn och det NTLM-hashade lösenordet till adressen i länken, typisk angriparens dator.
Det tycks dock som att angriparen redan måste ha brutit sig in i en pågående konferens, men å andra sidan har det de senaste dagarna rapporterats om att det är precis vad angripare kan göra, men hjälp av en annan bugg i Zoom.
Zoom har i en kommentar till Ars Technica bekräftat denna UNC-sträng-bugg och säger att de nu arbetar på att fixa problemet. Vad användaren kan göra under tiden är att stänga av tcp-port 445 som används i detta sammanhang, samt av Windows SMB- och AD-tjänster. Var dock uppmärksam på om inte nedstängningen av tcp-445 orsakar andra problem.
Läs också:
Slack integreras med både Microsoft Teams och Zoom
Zoom tvingas krypa till korset vad gäller kryptering
