Zoom已经发展了九年。冠状病毒疫情期间,人们迫切需要一款易用的视频会议应用,于是Zoom一夜之间成为了数百万人青睐的工具。
虽然Zoom是一个高效的在线视频会议工具,但从隐私和安全性方面来看,它似乎并不理想。
根据网络安全专家@ _g0dmode的最新发现,Windows的Zoom客户端易受“UNC路径注入”漏洞的攻击,该漏洞可能导致远程攻击者窃取Windows系统用户的登录凭据,该发现也得到了研究人员耐特·赫克和穆罕默德A. Baset的证实。
该攻击涉及SMBRelay技术,Windows系统在尝试连接和下载托管文件时,会自动向远程SMB服务器公开用户的登录用户名和NTLM密码哈希。
只有当Windows的Zoom客户端支持远程UNC路径时,才会发生这种攻击,这会将这种潜在的不安全URL转换为个人聊天或群聊中收件人的超链接。
要盗取一个运行Windows的用户的登录凭据,攻击者需要通过他的聊天界面向受害者发送一个精心制作的URL(即 xxxx abc_file),如图,然后等待受害者点击,只能成功一次。
需要注意的是,攻击者捕获的密码并不是明文,但是使用HashCat或Ripper John等密码破解工具,可以在几秒钟内轻松破解出弱密码。
在共享网络(如办公环境)中,被盗的登录详细信息可以立即被重用,以破坏其他用户或信息技术资源,并发起进一步的攻击。
除了窃取Windows凭据之外,您还可以利用此漏洞启动目标计算机上已经存在的任何程序,或者下载其他程序来为攻击者的社会工程活动做准备。
Zoom已收到此漏洞的通知,但由于此漏洞尚未修复,建议用户使用替代的视频会议软件或网络浏览器中的Zoom来代替他们的客户端应用程序,以避免受到攻击的风险。
除了使用安全密码,Windows用户还可以更改安全策略设置,以限制操作系统自动将其NTML凭据传递给远程服务器。
如前所述,这不是Zoom在过去两天发现的唯一隐私或安全问题。就在昨天,另一份报告证实,虽然Zoom向用户声称其“使用端到端加密连接”,但实际上并没有使用端到端加密来保护其用户数据不被偷窥。
昨天,纽约司法部长致信Zoom,要求该公司更透明地处理敏感数据,并采取切实措施保护用户数据。除了提到Zoombombings事件,这封信还询问Zoom应该如何处理系统中的安全漏洞,包括允许恶意第三方访问消费者网络摄像头,以及与Facebook等其他公司共享数据。
对此,3月30日,Zoom更新了其隐私政策,并回复了总检察长的来信:“我们感谢纽约州总检察长参与这些问题,非常乐意向她提供所要求的信息。”
据了解,Zoom最近暴露的安全问题层出不穷。就在上周,Zoom在披露与Facebook服务器共享用户设备信息后更新了其iOS应用,但仍引起人们对其未能保护用户隐私的担忧。
今年早些时候,Zoom还修复了其软件中的另一个隐私漏洞,该漏洞可能允许不速之客参加私人会议,远程窃听整个对话,并共享私人音频、视频和文档。
用户可以采取的安全预防措施
了解使用缩放时的隐私注意事项。为缩放会议添加密码
创建新的缩放会议时,缩放会自动启用“需要会议密码”设置,并随机分配一个6位密码。尽量不要取消选中此选项,因为这样做将允许任何人未经许可访问会议。
使用等候室功能
缩放允许主持人(创建会议的人)启用等候室功能,这可以防止用户在没有主持人许可的情况下进入会议。您可以在创建会议期间启用此功能,方法是打开高级设置,选中“启用等候室”设置,然后单击“保存”按钮。
及时更新缩放客户端
默认情况下,最新的缩放更新启用会议密码,并为扫描会议标识的人提供保护。
不要共享您的个人会议标识
每个Zoom用户都会获得一个与其帐户相关联的永久“个人会议id”(PMI)。如果你把你的PMI给了别人,他们总是能够检查是否有一个正在进行的会议。如果您没有配置密码,您可以加入会议。
禁用参与者屏幕共享
为了防止会议被其他人劫持,应该防止主持人以外的与会者共享他们的屏幕。作为主持人,您可以通过单击缩放工具栏中共享屏幕旁边的向上箭头,然后单击高级共享选项,如下所示。
所有人加入后锁定会议
如果所有人都参加了会议,没有其他人被邀请,会议应该被锁定,这样就没有其他人可以参加。为此,请单击“缩放”工具栏上的“管理参与者”按钮,然后选择“参与者”窗格底部的“更多”。然后选择锁定会议选项,如下所示。
不要发布缩放会议图片
如果您拍摄缩放会议的照片,任何看到此照片的人都可以看到其相关的会议标识,然后尝试进入会议。攻击者可能会使用它来尝试通过显示的标识手动加入,以获得未经授权的会议访问权限。
不要发布会议的公共链接
创建缩放会议时,不要公开发布会议链接。这样做将使谷歌等搜索引擎能够索引链接,并使任何搜索它们的人都可以访问它们。
当心缩放主题的恶意软件
自冠状病毒爆发以来,制造恶意软件、网络钓鱼诈骗和其他与爆发相关的攻击的威胁参与者数量迅速增加,包括伪装成Zoom客户端安装程序的恶意软件和广告软件安装程序。
*参考来源:&;Sandra1432编译,转载,请注明来自FreeBuf.COM
1.《zoom会议客户端 Zoom客户端漏洞允许黑客窃取用户Windows密码》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《zoom会议客户端 Zoom客户端漏洞允许黑客窃取用户Windows密码》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/junshi/1240427.html