Lỗ hổng trên ứng dụng Zoom cho phép tin tặc đánh cắp mật khẩu Windows

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

zoom video hacking

Ứng dụng Zoom đã phát hành được 9 năm nhưng đến bây giờ khi đại dịch COVID-19 bùng nổ, nhu cầu về một ứng dụng hội nghị video dễ sử dụng tăng cao chóng mặt thì nó mới trở nên phổ biến và được yêu thích.

Mặc dù là một giải pháp họp trực tuyến hiệu quả, Zoom vẫn không phải là lựa chọn tốt nhất về quyền riêng tư và bảo mật.

Nhà nghiên cứu Matthew Hickey đã xác nhận phát hiện mới nhất của chuyên gia an ninh mạng @_g0dmode về việc ứng dụng Zoom trên Windows có lỗ hổng ‘đường dẫn UNC’. Lỗi này cho phép kẻ tấn công từ xa đánh cắp thông tin đăng nhập Windows của nạn nhân.

Cuộc tấn công liên quan đến kỹ thuật SMBRelay (tấn công trung gian của SMB vào các máy Windows). Windows tự động hiển thị tên đăng nhập của người dùng và mật khẩu NTLM (NT LAN Manager) hash cho máy chủ SMB từ xa, kết nối và tải xuống tệp được lưu trữ trên đó.

Cuộc tấn công chỉ được thực hiện khi Zoom cho phép Windows hỗ trợ các đường dẫn UNC từ xa, giúp chuyển đổi các URL không an toàn thành các hyperlinks cho người nhận trong các cuộc trò chuyện nhóm hoặc cá nhân.

Để đánh cắp thông tin đăng nhập của Zoom trên Windows, tkẻ tấn công chỉ cần gửi một URL được tạo thủ công (ví dụ: \\x.x.x.x\abc_file) cho nạn nhân qua giao diện trò chuyện và đợi nạn nhân nhấp chuột vào.

Quá dễ để thuyết phục mọi người nhấp vào một liên kết ngẫu nhiên qua trò chuyện.

Cần lưu ý, mật khẩu thu được tuy không phải plaintext (văn bản thuần túy). Nó là một mật khẩu yếu có thể bị bẻ khóa dễ dàng trong vài giây bằng các công cụ bẻ khóa mật khẩu như HashCat hoặc John the Ripper.

Trong môi trường sử dùng chung như tại văn phòng, các thông tin đăng nhập bị đánh cắp có thể được sử dụng lại ngay lập tức để gây hại cho người dùng hoặc tài nguyên CNTT và là bước đẹm cho các cuộc tấn công tiếp theo.

Dù đã được thông báo về lỗ hổng, Zoom vẫn chưa vá được nó. Người dùng nên sử dụng một phần mềm hội nghị video thay thế hoặc sử dụng Zoom trong trình duyệt web thay vì ứng dụng cài đặt trên thiết bị.

Bên cạnh việc sử dụng mật khẩu, người dùng Windows cũng có thể thay đổi cài đặt chính sách bảo mật để hạn chế hệ điều hành tự động chuyển thông tin xác thực NTML đến máy chủ từ xa.

windows security settings

Như đã đề cập trước đó, đây không phải là vấn đề về quyền riêng tư và bảo mật duy nhất được phát hiện trong Zoom trong những ngày qua.

Mới hôm 31/3 vừa rồi, một báo cáo khác đã xác nhận rằng Zoom không sử dụng mã hóa đầu cuối để bảo vệ dữ liệu cuộc gọi của người dùng khỏi kẻ xấu mặc dù họ đã cam kết với người dùng rằng “Zoom đang sử dụng kết nối được mã hóa từ đầu đến cuối”.

Mới tuần trước, Zoom đã cập nhật ứng dụng trên iOS của mình sau khi bị phát hiện chia sẻ thông tin thiết bị của người dùng với máy chủ Facebook. Sự việc tạo ra mối lo ngại to lớn về quyền riêng tư của người dùng.

Đầu năm nay, Zoom đã vá một lỗ hổng khác trong phần mềm của mình. Lỗi này cho phép những “vị khách không mời” tham gia các cuộc họp riêng tư và nghe lén từ xa những âm thanh, video và tài liệu riêng tư được chia sẻ trong suốt phiên họp.

Quỳnh Thảo

Theo TheHackerNews