Zoom 客户端爆出安全漏洞,可向攻击者泄露 Windows 登录凭据
近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登录凭据。
发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。
然而安全研究人员 @_g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。常规 URL 和 NUC 路径都被转换成了聊天消息中的可点击链接。若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。
安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。除了窃取 Windows 登录凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。
庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。
据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。
来源:cnBeta.COM
更多资讯
万豪披露又一起数据安全事件 520万客户信息泄露
报道称事件发生于今年 1 月中旬,但直到 2 月下旬才被发现。调查发现有两名员工的登陆凭据有关,事件导致 520 万客户信息泄露。在堵上安全漏洞之后,万豪声称入侵者已被禁止访问。
来源:cnBeta.COM
ICANN 批准了 Verisign 的合同 .com 域名将涨价
ICANN 批准了 Verisign 的 .COM 注册协议,允许 .COM 域名未来四年每年涨价 7%。目前 .COM 的批发价为 7.85 美元,从 2021 年起每年涨 7%,到 2024 年批发价将涨到 10.29 美元。
来源:solidot.org
Edge 和 IE 浏览器因疫情调整 TLS 1.0/1.1 禁用时间表
2018 年 10 月,微软宣布尚处于支持状态的 Edge 和 IE 浏览器将于 2020 年上半年开始,默认停止对 TLS 1.0/1.1 网站的支持。不过由于受到新冠病毒疫情的影响,微软宣布对该计划进行调整,并公布了新的时间路线图。
来源:cnBeta.COM
美参议员就新冠病毒网站的数据隐私问题向 Verily 施压
据外媒报道,当地时间周二,一群美国民主党参议员对谷歌母公司 Alphabet 旗下的生命科学部门 Verily 进行了盘问”,内容是关于该公司的新冠筛查网站相关的隐私问题。据悉,该网站于两周前上线,让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。
来源:cnBeta.COM
(信息来源于网络,安华金和搜集整理)