• INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG
HUMEDAL INFORMATIK·ZERBITZU TEKNIKOA
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG

Vulnerabilidad en Zoom para Windows permite robar credenciales (y solución temporal)

4/2/2020

 
Imagen
El cliente Zoom de Windows es vulnerable a la inyección de ruta UNC en la función de chat. Este error podría permitir a los atacantes robar las credenciales de Windows de los usuarios que hacen clic en el enlace. Todas las versiones para Windows hasta la 4.6.8 (19178.0323) son vulnerables.
Al enviar un mensaje de chat, las URL que se envían se convierten en hipervínculos para que otros miembros puedan hacer clic en ellas para abrir una página web en su navegador predeterminado. El problema es que el investigador de seguridad @_g0dmode descubrió que el cliente Zoom convertirá también las rutas UNC de red de Windows en un enlace cliqueable (video).
Imagen
Al hacer esto, de manera predeterminada, Windows enviará el nombre de inicio de sesión del usuario y su hash de contraseña NTLM, que se puede descifrar utilizando herramientas gratuitas como Hashcat. El investigador Matthew Hickey (@HackerFantastic) probó la inyección UNC en Zoom y, como puede ver a continuación, pudo capturar los hashes de contraseña NTLM que se envían a un servidor que aloja el recurso compartido al que se hizo clic.

Este comportamiento es similar en macOS al usuar smb://UNC_path.

Lo que hace que esto sea particularmente problemático es que con la potencia actual de nuestras tarjetas gráficas y CPU, un programa como Hashcat puede obtener rápidamente las contraseñas.
Imagen
Además del robo de credenciales de Windows, Hickey le dijo a BleepingComputer que las inyecciones UNC también se pueden usar para iniciar programas en una computadora local cuando se hace clic en un enlace.

Por ejemplo, al hacer clic en una ruta UNC como \\127.0.0.1\C$\windows\system32\calc.exe, se intentará ejecutar el ejecutable de la Calculadora de Windows en la computadora. Afortunadamente, Windows le pedirá al usuario que permita que el programa se ejecute antes de que se ejecute.

Para solucionar este problema, Zoom debe evitar que el sistema de chat convierta las rutas UNC en hipervínculos en los que se puede hacer clic.

Solución temporal
Para aquellos que no desean esperar una solución, hay una Política de grupo que se puede habilitar que evita que sus credenciales NTML se envíen automáticamente a un servidor remoto al hacer clic en un enlace UNC.

Esta política se llama 'Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers' y se encuentra en la siguiente ruta en el Editor de políticas de grupo.

Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers.

Si esta política está configurada para "Denegar todo", Windows ya no enviará automáticamente sus credenciales NTLM a un servidor remoto cuando acceda a un recurso compartido. Cabe señalar que cuando esta política se configura en máquinas unidas a un dominio, puede causar problemas al intentar acceder a los recursos compartidos. Se puede ver este artículo para obtener más información sobre cómo agregar excepciones a la política anterior.

Si es usuario de Windows 10 Home, no tendrá acceso al Editor de directivas de grupo pero se puede usar el Registro de Windows para configurar esta directiva.

Esto se puede hacer creando el valor:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"RestrictSendingNTLMTraffic"=dword:00000002


Al configurar esta política, no es necesario reiniciar su computadora.

Para volver al comportamiento predeterminado de Windows al enviar sus credenciales NTLM, puede deshabilitar la política eliminando el valor RestrictSendingNTLMTraffic.

Fuente: BC

Los comentarios están cerrados.

    Autor

    HUMEDAL INFORMATIK
    zerbitzu teknikoa
    servicios informàticos

    Imagen

    Archivos

    Diciembre 2020
    Noviembre 2020
    Octubre 2020
    Septiembre 2020
    Agosto 2020
    Julio 2020
    Junio 2020
    Mayo 2020
    Abril 2020
    Marzo 2020
    Febrero 2020
    Enero 2020
    Diciembre 2019
    Noviembre 2019
    Octubre 2019
    Septiembre 2019
    Agosto 2019
    Julio 2019
    Junio 2019
    Mayo 2019
    Abril 2019
    Noviembre 2018
    Octubre 2018
    Agosto 2018
    Julio 2018
    Mayo 2018
    Abril 2018
    Marzo 2018
    Febrero 2018
    Enero 2018
    Diciembre 2017
    Noviembre 2017
    Octubre 2017
    Septiembre 2017
    Julio 2017
    Junio 2017
    Mayo 2017

    Categorías

    Todos
    Kuriositateak
    Mundo 3D
    Ordenagailuak
    Segurtasuna
    Software Libre
    Software-libre

    Fuente RSS

NON GAUDEN·DONDE ESTAMOS

humedalinformatik@gmail.com                               tlf: 945 770 617·688 844 108                   Bulevar de Salburua 5            Vitoria·Gasteiz        Euskal Herria
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG