Zoom risolve il problema di sicurezza legato alla gestione degli indirizzi UNC

Gli sviluppatori di Zoom hanno pubblicato una nota ufficiale per scusarsi delle vulnerabilità emerse di recente e chiarire che, vista anche l’emergenza Coronavirus, l’azienda si concentrerà esclusivamente sul tema privacy e sulla risoluzione dei problemi di sicurezza sospendendo quindi l’aggiunta di nuove funzionalità.

Tra le lacune di sicurezza delle quali abbiamo parlato (vedere Zoom bombing: cos’è e come funziona l’attacco) c’è anche il possibile invio di percorsi UNC all’interno della chat.
Si tratta di percorsi di rete (iniziano con il prefisso \\) che Zoom trasforma automaticamente in link cliccabili.

Alcuni ricercatori hanno dimostrato che cliccando sul percorso UNC può verificarsi l’esecuzione di codice arbitrario.
Tavis Ormandy (Google) ha spiegato che usando il prefisso \\127.0.0.1\ è possibile avviare qualunque applicazione, comando o script in locale (magari passandovi dei parametri) senza che neppure venga richiesta conferma all’utente. Come abbiamo visto nell’articolo Allegati pericolosi e malware nei documenti Office: come inizia l’infezione, i file locali sono sprovvisti del flag che indica come provenienza la rete Internet (attributo che provoca la comparsa della richiesta di conferma).

Non solo. Quando l’indirizzo punta a un server remoto questo riceverà automaticamente il nome utente dell’account Windows in uso e la relativa password NTLM sotto forma di hash (la connessione alla risorsa remota viene tentata usando il protocollo SMB). Si tratta di un problema noto e comune a molte applicazioni: Disattivate il download automatico dei file nel browser: attacchi in vista.

Usando un programma come Hashcat (vedere anche questo tweet) e sfruttando la potenza delle moderne CPU e GPU, un aggressore può invertire la procedura di hashing delle password altrui.
Basti pensare che il dehashing di una password Windows (NTLM) relativamente semplice può essere effettuato in appena 15 secondi circa.

Zoom ha confermato che a partire dalla versione 4.6.9 (19253.0401) del client per Windows il problema di sicurezza è stato risolto. Ulteriore conferma sull’importanza di mantenere aggiornati i programmi che si usano per comunicare online.