ニュース
ZoomからWindowsの認証情報が盗まれる脆弱性
2020年4月2日 11:54
オンライン会議ツール「Zoom」の脆弱性を突き、認証情報が盗めてしまう脆弱性が報告されている。セキュリティ企業に勤めるとするHacker Fantastic氏がTwitterに投稿した内容によると、ZoomのWindowsクライアントがUNC(Universal Naming Convention)パスを使用するさいに、SMB(Server Message Block)リレー攻撃によって、ユーザー名やパスワードといった情報がさらされてしまうという。
ほかの類似したツールにもあるように、ZoomのWindowsクライアントアプリでも、テキストベースのチャットが行なえるが、そのやりとりのさいにURLを入れるとハイパーリンク化され、標準のWebブラウザでリンク先を開こうとする。
海外メディアのBleepingComputerはこれについて、任意のサーバーにある画像ファイルを例として説明しているが、UNCパスがクリックされると、Windowsのファイル共有プロトコルであるSMBは、ユーザーのログイン名とNTLM(NT LAN Manager authentication)認証のパスワードハッシュを使ってリンク先を開こうとする。このパスワードハッシュをHashcatとったパスワード復元ツールを使うことで取得できてしまうようだ。
以下のHacker Fantastic氏の投稿したスクリーンショットでは、ユーザー名とハッシュがさらされているのがわかる。
Hi@zoom_us&@NCSC- here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted).pic.twitter.com/gjWXas7TMO
— Hacker Fantastic (@hackerfantastic)March 31, 2020
同誌によれば、Zoomは現在この問題の解決に向けて取り組んでいるとのこと。
【4月3日追記】同問題は修正されました(関連記事:Windows認証情報が盗まれるZoomの脆弱性が即修正)。