Lỗi bảo mật có thể cho phép tin tặc đánh cắp mật khẩu Windows của người dùng

Theo chuyên gia an ninh mạng @_g0dmode, phần mềm hội nghị truyền hình Zoom dành cho hệ điều hành Windows dễ bị kẻ xấu khai thác bằng lỗ hổng cổ điển “Chèn đường dẫn UNC" để đánh cắp thông tin đăng nhập Windows của nạn nhân từ xa và thậm chí thực hiện các lệnh tùy ý trên hệ thống của họ.

Nguyên nhân bởi Zoom cho phép Windows hỗ trợ các đường dẫn UNC từ xa, chuyển đổi các URI không an toàn thành siêu liên kết khi nhận được qua tin nhắn trò chuyện đến người nhận trong cuộc trò chuyện cá nhân hoặc nhóm.

Được xác nhận bởi nhà nghiên cứu Matthew Hickey và được Mohamed Baset trình diễn, kịch bản tấn công đầu tiên liên quan đến kỹ thuật SMBRelay khai thác việc Windows tự động gửi tên đăng nhập của người dùng và mật khẩu NTLM băm tới máy chủ SMB từ xa khi cố gắng kết nối để tải xuống tệp được lưu trữ trên đó.

Để đánh cắp thông tin đăng nhập Windows của người dùng được nhắm mục tiêu, những kẻ tấn công chỉ cần gửi một URL được tạo thủ công (dạng \\x.x.x.x\abc_file) cho nạn nhân thông qua giao diện trò chuyện.

Sau khi người dùng nhấp vào URL, cuộc tấn công cho phép nguồn chia sẻ SMB do kẻ tấn công kiểm soát sẽ tự động thu thập dữ liệu xác thực từ Windows mà người dùng không hề hay biết.

Cần lưu ý, mật khẩu bị thu thập không phải ở dạng rõ mà là giá trị băm NTLM, nhưng giá trị băm đó có thể dễ dàng bị bẻ khóa trong vài giây bằng cách sử dụng các công cụ bẻ khóa mật khẩu như HashCat hoặc John the Ripper.

Trong môi trường dùng chung, thông tin đăng nhập Windows bị đánh cắp có thể được sử dụng lại ngay lập tức để giả danh người dùng truy cập các tài nguyên công nghệ thông tin khác và khởi động các cuộc tấn công tiếp theo.

Ông Tavis Ormandy, nhà nghiên cứu bảo mật Google cho biết, bên cạnh việc đánh cắp thông tin đăng nhập Windows, lỗ hổng cũng có thể bị khai thác để khởi chạy bất kỳ chương trình nào đã có trên máy tính mục tiêu hoặc thực thi các lệnh tùy ý để xâm phạm hệ thống từ xa.

Trong hình trên, Ormandy chỉ ra lỗi chèn đường dẫn UNC trong Zoom có thể bị lợi dụng để chạy một tệp chứa các lệnh độc hại từ thư mục tải xuống mặc định mà không cần có sự chấp thuận của người dùng. Kịch bản tấn công này dựa trên thực tế là các trình duyệt trên hệ điều hành Windows tự động lưu tệp tải xuống vào một thư mục mặc định. Điều này có thể bị lợi dụng để lừa người dùng tải và thực thi một tệp .bat.

Cần lưu ý là để khai thác vấn đề này, kẻ tấn công phải biết tên người dùng Windows. Tuy nhiên, thông tin đó có thể dễ dàng lấy được bằng cách sử dụng cuộc tấn công SMBRelay đầu tiên.

Ngoài ra, một nhà nghiên cứu bảo mật khác có tên pwnsdx trên Twitter cũng đã chia sẻ mẹo cho phép kẻ tấn công che giấu các liên kết độc hại khi hiển thị cho người nhận, khiến nó trông thuyết phục và dễ qua mặt người dùng hơn.

Các sự cố bảo mật và quyền riêng tư khác liên quan đến Zoom

Đây không phải là vấn đề duy nhất được phát hiện trong phần mềm hội nghị video Zoom trong thời gian gần đây, điều này làm gia tăng sự lo ngại về quyền riêng tư và bảo mật của hàng triệu người dùng. FBI đang cảnh báo người dùng Zoom về việc một số người tìm truy cập trái phép vào các cuộc họp trực tuyến và gây nhiễu loạn thông tin. Điều đó xảy ra vì rất dễ để tạo ID trong Zoom và người dùng thường không sử dụng mật khẩu để bảo vệ các cuộc họp. Trên mạng đã có những công cụ cho phép tìm kiếm những cuộc họp qua Zoom một cách tự động.

Ngày 3/4/2020, các nhà khoa học của Citizen Lab, Đại học Toronto (Canada) đã xác nhận rằng, Zoom không sử dụng mã hóa đầu - cuối để bảo vệ dữ liệu cuộc gọi của người dùng. Theo đó, ứng dụng Zoom sử dụng thuật toán mã hóa AES-128 ở chế độ ECB thay vì AES-256 như họ đã công bố. Tuy thuật toán AES-128 là có thể chấp nhận được nhưng việc sử dụng chế độ mã hóa ECB cho thấy, các lập trình viên của Zoom có sự thiếu hiểu biết về kỹ thuật mã hóa hoặc họ cố tình làm sai.

Trước đó, Zoom đã cập nhật ứng dụng iOS của mình sau khi bị bắt gặp chia sẻ thông tin thiết bị của người dùng với Facebook. Đầu năm nay, Zoom cũng đã vá một lỗi riêng tư khác trong phần mềm của mình, lỗi này cho phép những người ngoài có thể tham gia các cuộc họp riêng tư và nghe lén từ xa về âm thanh, video và tài liệu riêng tư được chia sẻ trong suốt phiên trao đổi.

Người dùng nên làm gì?

Zoom đã thông báo về lỗi chèn đường dẫn UNC và cũng đã xin lỗi vì không đạt được các kỳ vọng về quyền riêng tư và bảo mật. Zoom đã phát hành một phiên bản cập nhật để vá các lỗi bảo mật được báo cáo gần đây, trong đó có cả vấn đề chèn đường dẫn UNC. Người dùng nên cập nhật bản mới nhất hoặc sử dụng Zoom trong trình duyệt web thay vì cài đặt ứng dụng.

Bên cạnh việc sử dụng mật khẩu mạnh, người dùng Windows cũng có thể dùng Group Policy Management Editor (gpedit.msc) để thay đổi cài đặt chính sách bảo mật, ngăn hệ điều hành tự động chuyển thông tin xác thực NTML của họ tới máy chủ SMB ở xa.

Zoom đã có hướng dẫn đầy đủ và khá chi tiết để người dùng tự bảo vệ các cuộc họp của mình tại đây. Vì vậy, người dùng cần đọc kỹ và làm theo hướng dẫn. Trong thời gian tới, các nhà nghiên cứu sẽ tiếp tục tìm hiểu để phát hiện thêm những lỗ hổng bảo mật của Zoom. Để đảm bảo an toàn, người dùng cần theo dõi tin tức và cập nhật các bản vá ngay khi chúng được phát hành. Nếu có lỗ hổng không thể vá sớm, người dùng có thể lựa chọn chuyển sang sử dụng các phần mềm thay thế an toàn hơn.