Title : <研究人员揪出Windows版与macOS版的Zoom程式漏洞>
Date : 2020-04-02
Author: 陈晓莉
Source: https://www.ithome.com.tw/news/136736
Researcher From VMRay Blog:
https://reurl.cc/j7GkRL <=详细图文解释
因“在家上班”风潮而家喻户晓的视讯会议平台Zoom本周又被揪出安全漏洞,
而且是被不同的安全研究人员找到macOS版与Windows版的Zoom程式漏洞,
相关漏洞可能允许骇客扩张权限,或是窃取Windows密码。
揭露macOS版Zoom客户端程式漏洞的,是网络安全公司VMRay的恶意程式
研究人员Felix Seele,以及专门研究macOS安全性的Objective-See。
研究人员发现,macOS版Zoom程式除了会擅自执行安装程序之外,也含
有权限扩张漏洞,亦允许骇客注入程式以存取麦克风及摄影机。
Seele指出,Zoom的安装程序采用了预先安装的脚本程式,不需使用者
作最后的确认,就迳自将程式安装在macOS上。
当使用者要加入一个Zoom会议时,会被要求下载及执行Zoom程式,
通常会出现一些页面来让使用者客制化及确认安装,但Zoom的安装
程序却跳过这些客制化与确认的步骤,而直接执行预先安装的脚本
程式,此一预先安装通常是在程式尚未确认硬件相容性时便执行了。
虽然macOS会在执行预先安装时提出警告,但跳出的讯息是
“此一执行将确定能否安装程式”(will determine if the software
can be installed),大多数的使用者会按下同意,但它不只检查硬件
的相容性,还直接执行完整的安装。此外,若是需要管理权限才能安装Zoom,
跳出的讯息应该是“Zoom需要你的密码才能更新既有程式”之类的,
但Zoom却是使用了“系统需要你的权限进行变更”的文字叙述,完全未提
及品牌名称,可能让使用者误解这是作业系统的需求而非Zoom,进而输入
自己的密码。
Seele表示,虽然Zoom并非恶意程式,但上述两项手法都是macOS恶意程式才会有的行为。
Objective-See则在macOS版Zoom程式中发现了第三个问题,
在Zoom请求使用者赋予该程式存取摄影机及麦克风的权限时,
含有一个排除条款,将允许恶意程式注入该程序,也许是用来纪录
会议内容,或者是擅自存取装置上的摄影机与麦克风。
除了macOS的Zoom程式之外,另一个代号为@_g0dmode的安全研究人员,
则发现Windows版的Zoom程式也含有安全漏洞。
该漏洞属于UNC注入漏洞,允许骇客在Zoom程式的聊天功能中,
把Windows网络的UNC路径转成超连结,使用者点选时,Windows
会透过SMB档案分享功能来开启远端档案,同时传送使用者的登入名称
及NTLM杂凑密码,这时骇客只要透过免费工具,就能揭露使用者密码。