Lỗi bảo mật có thể cho phép tin tặc đánh cắp mật khẩu Windows của người dùng
Theo chuyên gia an ninh mạng @_g0dmode, phần mềm hội nghị truyền hình Zoom dành cho hệ điều hành Windows dễ bị kẻ xấu khai thác bằng lỗ hổng cổ điển “Chèn đường dẫn UNC" để đánh cắp thông tin đăng nhập Windows của nạn nhân từ xa và thậm chí thực hiện các lệnh tùy ý trên hệ thống của họ.
Nguyên nhân bởi Zoom cho phép Windows hỗ trợ các đường dẫn UNC từ xa, chuyển đổi các URI không an toàn thành siêu liên kết khi nhận được qua tin nhắn trò chuyện đến người nhận trong cuộc trò chuyện cá nhân hoặc nhóm.
Được xác nhận bởi nhà nghiên cứu Matthew Hickey và được Mohamed Baset trình diễn, kịch bản tấn công đầu tiên liên quan đến kỹ thuật SMBRelay khai thác việc Windows tự động gửi tên đăng nhập của người dùng và mật khẩu NTLM băm tới máy chủ SMB từ xa khi cố gắng kết nối để tải xuống tệp được lưu trữ trên đó.
Để đánh cắp thông tin đăng nhập Windows của người dùng được nhắm mục tiêu, những kẻ tấn công chỉ cần gửi một URL được tạo thủ công (dạng \\x.x.x.x\abc_file) cho nạn nhân thông qua giao diện trò chuyện.
Sau khi người dùng nhấp vào URL, cuộc tấn công cho phép nguồn chia sẻ SMB do kẻ tấn công kiểm soát sẽ tự động thu thập dữ liệu xác thực từ Windows mà người dùng không hề hay biết.
Cần lưu ý, mật khẩu bị thu thập không phải ở dạng rõ mà là giá trị băm NTLM, nhưng giá trị băm đó có thể dễ dàng bị bẻ khóa trong vài giây bằng cách sử dụng các công cụ bẻ khóa mật khẩu như HashCat hoặc John the Ripper.
Trong môi trường dùng chung, thông tin đăng nhập Windows bị đánh cắp có thể được sử dụng lại ngay lập tức để giả danh người dùng truy cập các tài nguyên công nghệ thông tin khác và khởi động các cuộc tấn công tiếp theo.
Ông Tavis Ormandy, nhà nghiên cứu bảo mật Google cho biết, bên cạnh việc đánh cắp thông tin đăng nhập Windows, lỗ hổng cũng có thể bị khai thác để khởi chạy bất kỳ chương trình nào đã có trên máy tính mục tiêu hoặc thực thi các lệnh tùy ý để xâm phạm hệ thống từ xa.
Trong hình trên, Ormandy chỉ ra lỗi chèn đường dẫn UNC trong Zoom có thể bị lợi dụng để chạy một tệp chứa các lệnh độc hại từ thư mục tải xuống mặc định mà không cần có sự chấp thuận của người dùng. Kịch bản tấn công này dựa trên thực tế là các trình duyệt trên hệ điều hành Windows tự động lưu tệp tải xuống vào một thư mục mặc định. Điều này có thể bị lợi dụng để lừa người dùng tải và thực thi một tệp .bat.
Cần lưu ý là để khai thác vấn đề này, kẻ tấn công phải biết tên người dùng Windows. Tuy nhiên, thông tin đó có thể dễ dàng lấy được bằng cách sử dụng cuộc tấn công SMBRelay đầu tiên.
Ngoài ra, một nhà nghiên cứu bảo mật khác có tên pwnsdx trên Twitter cũng đã chia sẻ mẹo cho phép kẻ tấn công che giấu các liên kết độc hại khi hiển thị cho người nhận, khiến nó trông thuyết phục và dễ qua mặt người dùng hơn.
Các sự cố bảo mật và quyền riêng tư khác liên quan đến Zoom
Đây không phải là vấn đề duy nhất được phát hiện trong phần mềm hội nghị video Zoom trong thời gian gần đây, điều này làm gia tăng sự lo ngại về quyền riêng tư và bảo mật của hàng triệu người dùng. FBI đang cảnh báo người dùng Zoom về việc một số người tìm truy cập trái phép vào các cuộc họp trực tuyến và gây nhiễu loạn thông tin. Điều đó xảy ra vì rất dễ để tạo ID trong Zoom và người dùng thường không sử dụng mật khẩu để bảo vệ các cuộc họp. Trên mạng đã có những công cụ cho phép tìm kiếm những cuộc họp qua Zoom một cách tự động.
Ngày 3/4/2020, các nhà khoa học của Citizen Lab, Đại học Toronto (Canada) đã xác nhận rằng, Zoom không sử dụng mã hóa đầu - cuối để bảo vệ dữ liệu cuộc gọi của người dùng. Theo đó, ứng dụng Zoom sử dụng thuật toán mã hóa AES-128 ở chế độ ECB thay vì AES-256 như họ đã công bố. Tuy thuật toán AES-128 là có thể chấp nhận được nhưng việc sử dụng chế độ mã hóa ECB cho thấy, các lập trình viên của Zoom có sự thiếu hiểu biết về kỹ thuật mã hóa hoặc họ cố tình làm sai.
Trước đó, Zoom đã cập nhật ứng dụng iOS của mình sau khi bị bắt gặp chia sẻ thông tin thiết bị của người dùng với Facebook. Đầu năm nay, Zoom cũng đã vá một lỗi riêng tư khác trong phần mềm của mình, lỗi này cho phép những người ngoài có thể tham gia các cuộc họp riêng tư và nghe lén từ xa về âm thanh, video và tài liệu riêng tư được chia sẻ trong suốt phiên trao đổi.
Người dùng nên làm gì?
Zoom đã thông báo về lỗi chèn đường dẫn UNC và cũng đã xin lỗi vì không đạt được các kỳ vọng về quyền riêng tư và bảo mật. Zoom đã phát hành một phiên bản cập nhật để vá các lỗi bảo mật được báo cáo gần đây, trong đó có cả vấn đề chèn đường dẫn UNC. Người dùng nên cập nhật bản mới nhất hoặc sử dụng Zoom trong trình duyệt web thay vì cài đặt ứng dụng.
Bên cạnh việc sử dụng mật khẩu mạnh, người dùng Windows cũng có thể dùng Group Policy Management Editor (gpedit.msc) để thay đổi cài đặt chính sách bảo mật, ngăn hệ điều hành tự động chuyển thông tin xác thực NTML của họ tới máy chủ SMB ở xa.
Zoom đã có hướng dẫn đầy đủ và khá chi tiết để người dùng tự bảo vệ các cuộc họp của mình tại đây. Vì vậy, người dùng cần đọc kỹ và làm theo hướng dẫn. Trong thời gian tới, các nhà nghiên cứu sẽ tiếp tục tìm hiểu để phát hiện thêm những lỗ hổng bảo mật của Zoom. Để đảm bảo an toàn, người dùng cần theo dõi tin tức và cập nhật các bản vá ngay khi chúng được phát hành. Nếu có lỗ hổng không thể vá sớm, người dùng có thể lựa chọn chuyển sang sử dụng các phần mềm thay thế an toàn hơn.
Nguyễn Anh Tuấn
Tổng hợp
08:00 | 30/03/2020
09:00 | 15/04/2020
09:00 | 29/04/2020
22:00 | 30/04/2020
08:00 | 23/04/2020
10:00 | 06/04/2020
10:00 | 06/04/2020
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 29/10/2024
Công ty nghiên cứu bảo mật ESET mới đây đã đưa ra cảnh báo về việc tin tặc tấn công một đối tác của họ tại Israel để mạo danh thương hiệu này nhằm phát tán mã độc.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025