Windows 10 : attention aux fuites d’identifiants avec le client Zoom

Compte-tenu des circonstances actuelles et des fonctionnalités qu'elle propose, la solution de vidéoconférence Zoom devient de plus en plus populaire et les chercheurs en sécurité s'intéressent tout particulièrement à elle ces derniers jours. Un nouveau problème de sécurité est signalé.

Le problème est le suivant : la fonctionnalité de discussion de groupe du client Zoom pour Windows 10 peut être utilisée pour partager des liens. Jusque là tout est normal. Le problème, c'est que si l'on clic sur ce lien, le client Zoom peut divulguer les identifiants Windows de la personne qui va interagir avec le lien.

En fait, le client Zoom converti en lien hypertexte les URL mais également les chemins UNC, que l'on a l'habitude d'utiliser pour accéder à un partage SMB dans un environnement Windows. Voici un exemple de chemin UNC : \\mon-serveur\partage

Par défaut, lorsque l'on va cliquer sur un chemin UNC dans Windows, le système d'exploitation va tenter de s'y connecter en fournissant l'identifiant de l'utilisateur connecté sur la machine, ainsi que le hash de ses identifiants (NTLM). En complément, l'adresse IP est également récupérable. Puisqu'il y a un hash, ce n'est pas en clair directement, mais si le mot de passe de l'utilisateur n'est pas suffisamment complexe, il pourrait craqué assez rapidement en utilisant un outil adapté comme John the Ripper, par exemple.

Le chercheur britannique Matthew Hickey alias "_g0dmode" est à l'origine de cette trouvaille. Il précise également que cela pourrait être utilisé dans le cadre d'attaque et qu'il faut rester vigilant avant de cliquer sur les liens diffusés. D'après lui, les chemins UNC ne devraient pas être converti en lien hypertexte.

En attendant, si vous utilisez Zoom sur Windows 10 et que vous souhaitez réduire les risques, vous pouvez déployer un paramètre sur vos PCs pour limiter le trafic NTLM sortant vers les serveurs distants. Cela s'applique par GPO (ou à la main poste par poste) donc ce n'est pas gagné pour tout le monde en cette période de confinement.

Ce n'est pas le premier problème lié à la sécurité de Zoom remonté ces derniers temps, notamment sur le respect de la vie privée et des failles de sécurité au sein du client pour MacOS.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2271 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.