Zoom客戶端聊天模塊曝“驚天漏洞”，可暴力破解目標用戶Windows登錄憑據

4月1日，Windows 版 Zoom 客戶端曝出了一個極其嚴重的安全漏洞。攻擊者通過該漏洞，可逆向“爆破”目標用戶的Windows的登錄憑據，掌握系統最高權限，并隨意啟動目標用戶的程序，如CMD命令符等。這一漏洞的披露，對遠程工作者猶如晴天霹靂，全球上下一片嘩然。

震驚之余，智庫也對此進行了深度追蹤分析，發現威脅起源于Zoom客戶端中的一個聊天模塊。該模塊是Zoom官方為優化遠程辦公體驗，開設的一個用于文本交流的群聊功能。在這里，所有成員發出來的URL鏈接都會被系統轉換，以便群內的其他成員點擊。

然而，這一“轉換”恰恰卻成了黑客攻陷用戶系統的絕佳突破口。因為Zoom客戶端不僅會處理群聊中的常規URL鏈接，還會將員工遠程訪問共享文件的Windows網絡UNC 路徑也給轉換成可被點擊的鏈接。

UNC（Universal Naming Convention）：通用命名規范。主要指局域網上共享資源的文件目錄路徑。比如，要訪問softer計算機中名為it168的共享文件夾，用UNC表示就是\\softer\it168。

當用戶點擊UNC路徑時，Windows會通過發送用戶登錄名和NTLM密碼哈希值，使用SMB網絡共享文件協議連接到遠程站點。在此過程中，Zoom用戶的IP地址、域名、用戶名和主機名隨時都可能被泄露。瞬而，黑客組織便可據此使用John the Ripper之類的密碼破解器，在幾秒鐘之內，迅速暴力破解使用普通GPU（Graphics Processing Unit：圖形處理器，主要用于系統信息轉換驅動）的電腦密碼。

SMB（ServerMessageBlock）文件共享協議：也稱服務器消息模塊，是一種局域網文件共享傳輸協議，常被用來作為共享文件安全傳輸研究的平臺，而NTLM則是該協議下的一種身份驗證方式。

雖然，Windows會在程序被執行前發出是否允許運行的提示。但關于此次漏洞的爆破“影響值”，安全研究員提醒仍不容小覷。

因為經測試發現，這種攻擊不僅能竊取 Windows 登錄憑據，還能越過受害者直接啟動本地計算機上的程序（比如 CMD 命令提示符）。這一結果無疑標志著被無數企業奉為圭臬的Zoom辦公模式再度陷入了信任危機。

一波未平一波又起，Zoom安裝包或將成為惡意代碼“發源地”

然而，Zoom的麻煩遠不止此。

繼客戶端漏洞曝出后，另外一個可被用于全面接管Zoom用戶Mac電腦的漏洞也隨即被披露。利用后者，攻擊者可在目標計算機中任意安裝惡意軟件。

關于這一漏洞原理，與 “Zoom安裝程序到底是如何在不需要用戶點擊的情況下，順利完成安裝工作”這個困擾用戶許久的問題密切相關。美國威脅檢測公司VMRay技術負責人解釋道：“Zoom使用的是捆綁了7zip手動解壓縮應用程序的預安裝腳本。如果當前用戶在admin組中，不需要root，即可以將其直接安裝到/ Applications。”

也就是說，攻擊者可以通過向Zoom安裝程序注入惡意代碼，來獲得超級用戶或“ root ”特權，并在用戶不知情的情況下訪問底層的MacOS并運行惡意軟件或間諜軟件。

更為嚴重的是，在全球疫情不斷蔓延的當下，Zoom平臺的使用率也逐步攀升，數據顯示，約60%的世界500強公司使用該平臺。而針對上述重大問題，在Zoom官方還未給出有力解決辦法前，犯罪分子早已搶先行動。

據ABC的報道，當地時間3月31日，美國聯邦調查局FBI波士頓辦公室發布通告稱，3月底已有不明身份的攻擊者向馬薩諸塞州正在上網課的學校接連多次發動攻擊。

面對如此嚴峻形勢，智庫建議大家：

1、設置組策略，限制向遠程服務器傳出 NTLM 通信（參考如下操作）：

計算機配置 -> Windows 設置 -> 安全設置 -> 本地策略 -> 安全選項 -> 網絡安全：限制NTLM -> 發送到遠程服務器的 NTLM 通信（然后全部配置為拒絕）。