Видеоприложение Zoom, которое стало крайне популярным из-за вынужденного карантина, постепенно превращается из необходимого инструмента в киберкошмар. Как выяснил портал Bleeping Computer, внутри сервиса обнаружена уязвимость, которая позволяет злоумышленнику похищать данные для входа в Windows, включая пользовательский пароль. Хорошие новости заключаются в том, что эта информация находится хешированном виде. Тем не менее, в интернете есть большое количество бесплатных программ, которые позволяют без особого труда снять хеширование и получить нужные данные.
Проблема здесь в том, что Zoom автоматически преобразует ссылки и UNC–пути Windows [Universal Naming Convention], отправленные через функцию чата Zoom, в интерактивные ссылки, пояснил «Газете.Ru» старший исследователь безопасности компании Avast Мартин Хрон. Когда пользователь щелкает ссылку UNC-пути, Windows пытается подключиться к удаленному сайту с использованием протокола общего доступа SMB, и по умолчанию Windows отправляет имя пользователя и пароль в хешированном виде, оставляя их нераспознаваемыми, пока их не взломают.
«Кроме того, отправляя кому-либо UNC-ссылки, человек может удаленно открыть приложение, которое получатель уже установил на свой компьютер. Выполняя описанные выше действия, злоумышленник может получить полный контроль над системой», — заявил Хрон.
Эксперт добавил, что в последнее время в Zoom было обнаружено множество уязвимостей, относящихся не только к Windows, но и к другим платформам, таким как OSX. Некоторые из них показывают, что Zoom использует ненадежные методы для установки самого приложения, нарушая рекомендации поставщиков операционных систем.
«Любая зрелая система для видеоконференций ориентирована на каталоги пользователей и строится вокруг сервиса Active Directory. В нем хранятся пароли и данные об учетных записях. Zoom изначально был рассчитан на малый бизнес, у которого таких сервисов нет, поэтому вопросам безопасности уделяется меньшее значение и механизмы проработаны слабее», — рассказывает Андрей Дубровин, архитектор облачных решений компании Crayon.
При подключении к видеоконференции Zoom, верификационные данные учетной записи по ссылке передаются от пользователя к сервису и могут быть перехвачены «посредником», так называемому Man in the Middle. Им может выступать телеком-оператор, а при подключении через публичный Wi-Fi — злоумышленник. Если предположить, что в сети провайдера есть зараженный участок, данные могут быть перехвачены при передаче посреднику, расшифрованы и использованы в любых целях.
Сама по себе подобная атака будет стоить десятки тысяч долларов, так как злоумышленникам необходимо не только внедриться в соединение, но и расшифровать украденные данные. Однако для корпоративного сегмента это несет дополнительные риски.
«Zoom недавно сообщил о том, что дневной трафик в приложении достиг 200 миллионов пользователей, хотя еще в декабре этот показатель составлял 10 млн. При этом на рынке есть гораздо более привлекательные предложения по соотношению цены и качества», — сообщил Дубровин.
Консультант Центра информационной безопасности компании «Инфосистемы Джет» Глеб Карманов рассказал «Газете.Ru», как защитить свои данные, если юзер продолжает пользоваться Zoom, не имея альтернатив. Прежде всего, администратору необходимо использовать уникальный ID для видеоконференций, а также установить пароль.
Кроме того, нужно ограничить количество подключений к конференции точным числом участников и убедиться, что транслировать экран может только организатор видеоконференции. При необходимости можно создать для участников комнату ожидания и после назначенного времени заблокировать встречу для вновь присоединяющихся.