Chiêu thức hack Zoom mới cho phép hacker xâm nhập Windows và đánh cắp mật khẩu đăng nhập Windows

Zoom là một ứng dụng hỗ trợ họp video trực tuyến được nhiều người tin dùng. Dù đã có mặt hơn 9 năm trên thị trường nhưng dưới sự tác động của tình trạng dịch Corona Virus, Zoom mới bắt đầu trở thành một trong những công cụ giao tiếp được ưa chuộng trên thế giới được hàng triệu người dùng sử dụng.

Thực tế, Zoom là một công cụ hữu ích cho giải pháp họp video trực tuyến, giúp mọi người kết nối với nhau bất kể không gian và thời gian, tuy nhiên đây không phải là lựa chọn tốt nhất cho mọi người – đặc biệt là với những người thực sự quan tâm đến quyền riêng tư và bảo mật.

Theo chuyên gia bảo mật @_g0dmode, phần mềm họp video trực tuyến Zoom dành cho Windows rất dễ bị tổn thương bởi lỗ hổng bảo mật cổ điển ‘UNC path injection’ cho phép kẻ tấn công từ xa đánh cắp thông tin đăng nhập Windows của nạn nhân và thậm chí thực thi các lệnh bên trong hệ thống của họ.

Những hình thức tấn công này là hoàn toàn có khả năng bởi Zoom dành cho Windows hỗ trợ các đường dẫn UNC từ xa để chuyển đổi các đường link URL không bảo mật khi nhận những tin nhắn chat đến các các nhân hoặc nhóm chat.

Hack Zook để đánh cắp mật khẩu đăng nhập Windows từ xa

Được xác nhận bởi chuyên gia Matthew Hickey và được chứng minh bởi Mohamed Baset, kịch bản tấn công đầu tiên liên quan đến kỹ thuật SMBRelay đã tiết lộ thực tế rằng Windows tự động hiển thị tên người dùng đăng nhập và mật khẩu NTLM đến một máy chủ SMB từ xa khi cố gắn kết nối và tải tập tin trên  đó.

Để đánh cắp thông tin đăng nhập Windows của nạn  nhân mục tiêu, tất cả những gì kẻ tấn công cần làm là gửi một link URL tạo sẵn (\\x.x.x.x\abc_file) cho nạn nhân thông qua giao diện chat.

Một khi nhấp vào đường link này, kẻ tấn công sẽ được cho phép tự động thu thập dữ liệu xác thực từ Windows mà nạn nhân không hề hay biết.

Đáng chú ý là mật khẩu bị đánh cắp không phải là một dạng văn bản thuần, thay vào đó đã khóa bằng NTLM, nhưng đây là một dạng bảo mật yếu, có thể dễ dàng bị bẻ khóa trong vài giây bằng cách sử dụng các công cụ bẻ khỏa mật khẩu như HashCat hoặc John the Ripper.

Trong môi trường dùng chung, như văn phòng, thông tin đăng nhập bị đánh cắp có thể được sử dụng ngay lập tức để tấn công những người dùng khác hoặc tấn công vào tài nguyên CNTT khác và khởi động các đợt tấn công sau đó.

Khai thác lỗ hổng bảo mật Zoom để tấn công hệ thống Windows từ xa

Bên cạnh việc đánh cắp thông tin đăng nhập, lỗ hổng có thể bị khai thác để thực thi bất kỳ chương trình nào đang có sẳn trên máy tính mục tiêu hoặc thực thi các lệnh để xâm nhập từ xa – Chuyên gia bảo mật Google Tavis Ormandy xác nhận.

Theo như hình ảnh, Ormandy chứng minh cách một lỗ hổng đường dẫn UNC trong Zoom có thể bị khai thác để chạy các mã vá – không cần cảnh báo hoặc cho phép – chứa các lệnh độc hại khi được gọi từ đường dẫn tải về mặc định của Windows.

Viễn cảnh tấn công thứ hai phụ thuộc vào sự thật rằng các trình duyệt khởi chạy trên hệ điều hành Windows tự động lưu các tệp tại thư mục mặc định, có thể bị lạm dụng để lừa người dùng tải xuống tập lệnh sau đó kích hoạt bằng cách sử dụng lỗi thu phóng.

Đáng chú ý là để khai thác vấn đề này, kẻ tấn công cần phải biết tên người dùng Windows cho các nạn nhân mục tiêu, tuy nhiên chúng cũng dễ dàng có thể lấy được thông qua tấn công SMBRelay.

Thêm vào đó, một chuyên gia bảo mât khác có tên pwnsdx đã chia sẻ mẹo khác trên Twitter với The Hacker News rằng có thể cho phép hacker ẩn đường link độc hại khi hiển thị các thành phần cuối làm cho nó nhìn có vẻ thuyết phục và thực tế hơn.

Người dùng Zoom nên làm gì?

Zoom đã được cảnh báo về lỗi này nhưng trước khi lỗi này được vá, người dùng được khuyến cáo hạn chế sử dụng Zoom nếu chưa được cập nhật bản vá lỗi. Trong một thông báo mới đây của Zoom, họ cho biết đã thực hiện các bản vá cho phần mềm.

Ngoài ra người dùng có thể cân nhắc sử dụng các phần mềm chat và video hội nghị trực tuyến khác như :

Skype và Microsoft Team (có thể tham dự lên đến 50 thành viên)

Google Hangouts Meet (lên đến 250 thành viên)

Google Duo

Jitsi (miễn phí, host riêng, mã nguồn mở, lên đến 75 thành viên)

FaceTime và Signal for privacy

Bên cạnh sử dụng các mật khẩu mạnh, người dùng Windows cũng có thể thay đổi thiết lập bảo mật để hạn chế hệ điều hành tự động chuyển các thành phần NTML của họ đến máy chủ SMB từ xa.

Minh Hương – Theo The Hacker News