El cliente Zoom de Windows 10 puede ser pirateado engañando la conversión de ruta UNC

Zoom está pasando por momentos buenos y difíciles en medio de la aparición del coronavirus. Anteriormente se culpaba a la popular plataforma de videoconferencia por la práctica injusta de compartir datos, y ahora se puede usar una laguna en Zoom que convierte las rutas UNC en enlaces en los que se puede hacer clic para obtener las credenciales de red de los usuarios. Aunque todavía no hay informes de ningún ataque, los investigadores de seguridad lo marcan como crítico, ya que las credenciales obtenidas pueden usarse para otros ataques.

El cliente Zoom de Windows 10 puede ser pirateado engañando la conversión de ruta UNC
El cliente de zoom de Windows 10 puede ser pirateado haciendo trampa en la conversión de ruta UNC (imagen de rawpixel.com por px)

El fracaso de la conversión

Zoom se está divirtiendo con Coronavirus, ya que millones de personas utilizan el servicio en medio de la fuga. Aunque está sirviendo a muchos con la tarea, muchos expertos lo examinan en busca de posibles fallas. Y aquí está, acusado de compartir los datos personales de los usuarios con servicios de terceros como Facebook y ahora, por una simple falla que es automática.

Las conferencias de Zoom tienen una función que convierte automáticamente cualquier URL en un enlace en el que se puede hacer clic para que los participantes puedan hacer clic en él y abrirlo en su navegador predeterminado. Resulta que también está convirtiendo rutas UNC en enlaces en los que se puede hacer clic. La Convención de nomenclatura universal (UNC) es un protocolo que define / dirige a una ubicación de recursos. Si se arregla inteligentemente, se puede configurar como una ruta de almacenamiento de fotos / archivos. Los atacantes pueden aprovechar esto para enviar estos enlaces maliciosos en un chat grupal, lo que posiblemente permita que otros hagan clic en él.

La ruta UNC se convirtió en un enlace en el que se puede hacer clic
La ruta UNC se convirtió en un enlace en el que se puede hacer clic

¿Cuál es el problema?

El protocolo UNC está destinado a proporcionar al remitente información sobre las credenciales de la red por la que se hizo clic en los enlaces UNC. Por lo tanto, cuando un participante hace clic en el enlace UNC, su computadora con Windows se conecta al servidor remoto del atacante a través del protocolo SMB. Este proceso, de forma predeterminada, envía a los usuarios a iniciar sesión con el nombre de usuario NTLM y el hash de contraseña al atacante. Y descifrar un hash de contraseña NTLM justo es fácil con los recursos adecuados a mano.

Un investigador de seguridad con nombre de Twitter @ _g0dmode encontrado esto y confirmado por BleepingComputer también. Una solución a este problema es Zoom, que elimina la función de conversión a rutas UNC, o los usuarios son conscientes de que hacen clic en los enlaces. Deben diferenciar entre enlaces familiares y rutas de almacenamiento. De lo contrario, BleepingComputer sugirió una solución manual como deshabilitar esta función de conversión. Esto se puede hacer siguiendo los comandos.

Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad -> Seguridad de red: Restringir NTLM: Saliente Tráfico NTLM a servidores remotos

A través de la: BleepingComputadora