UNC path injection
El escenario siguiente muestra como prueba de concepto la exfiltración de información sensible en sistemas Windows aprovechando que el software de teleconferencias Zoom renderiza los enlaces UNC. La Convención de nomenclatura universal, UNC por su siglas en inglés, permite acceder a un recurso de red, tales como archivos, directorios o impresoras compartidas, es muy utilizado en sistemas operativos Windows y un ejemplo de un enlace UNC es el siguiente: \\NombreEquipo\Directorio\Recurso.
Cuando un usuario da clic en un enlace UNC, Windows comenzará el protocolo de compartición de archivos SMB para obtener el recurso del servidor remoto, posteriormente Windows intentará autenticar al usuario en el servidor enviando las credenciales de usuario de Windows para autenticarse en el servidor malicioso y acceder al recurso. Las credenciales enviadas por Windows son el usuario y hash NTLM, este último es posible ser obtenido mediante un ataque fuera de línea.
Se generaron dos escenarios en el primero un atacante captura el hash NTLM de la víctima y para el segundo la víctima ejecuta un binario malicioso que permite obtener una conexión inversa.
Desarrollo:
Primer escenario: se generó una reunión de conferencia donde un atacante que tenga acceso envía un enlace UNC a través del chat del aplicativo Zoom, el cual se convierte en un hipervínculo, con lo que otros participantes en la reunión podrían acceder al recurso enviado mediante un clic. Los pasos de la prueba de concepto realizada son los siguientes:
1. El atacante envía un enlace UNC al chat de grupo de la reunión.
2. La víctima da clic en el enlace compartido, Windows envía automáticamente el usuario y hash NTLM de la cuenta del usuario víctima.
3. El atacante captura el usuario y hash como se muestra a continuación.
4. Con esta información es posible realizar un ataque de fuerza bruta para obtener la contraseña del sistema operativo.
En el segundo escenario el atacante enviando un enlace UNC podría lograr que una víctima lo ejecute y con esto obtener una conexión inversa al equipo de la víctima.
5. El atacante envía un enlace a ejecutables maliciosos, en este caso, un binario para realizar una conexión inversa.
6. La víctima da clic en el enlace y confirma abrir el archivo ejecutable.
7. El atacante recibe una conexión desde el equipo comprometido y puede ejecutar comandos en este.
8. El atacante ejecuta comandos en la máquina remota.
Adicional, las reuniones en este servicio se han visto afectadas por intrusiones de usuarios malintencionados con el objetivo de alterar las comunicaciones. Lo anterior es conocido como ZoomBombing, donde se introducen en reuniones y llegan a publicar videos/presentaciones, obtener información interna, irrumplir reuniones entre otra información.
- Utilizar la última versión del software.
- Restringir el envío de tráfico NTLM a servidores remotos.
- No dar clic en enlaces UNC
- Contar con software antivirus actualizado.
Recomendaciones ZoomBombing
- Restringir la funcionalidad de compartir pantalla solo al anfitrión de la conferencia.
- Habilitar la funcionalidad de sala de espera, de manera que el anfitrión pueda seleccionar los usuarios a los que permite ingresar a la conferencia.
- Deshabilitar la transferencia de archivos de no ser necesaria.
- Deshabilitar la funcionalidad “entrar antes que el anfitrión”.
Referencias: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/ https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-y... https://security.harvard.edu/zoom-security
Liberación original: Viernes, 3 Abril 2020
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:
Vázquez Cruz Gonzalo