Zoom-Client gibt Windows-Anmeldedaten preis

Die Videokonferenz-App Zoom, die sich in Zeiten der COVID-19-Pandemie steigender Nutzerzahlen erfreut, hat offenbar ein Sicherheitsproblem. Betroffen ist einem Bericht von Bleeping Computer zufolge der Windows-Client von Zoom. Angreifer sind demnach in der Lage, unter bestimmten Umständen Anmeldedaten für Windows zu stehlen.

Entdeckt wurde der Fehler vom Sicherheitsforscher Mitch Hines. Er steckt in einer Funktion, die in den Zoom-Client eingegebene URLs automatisch in klickbare Links umwandelt. Sie ist anfällig für eine UNC Path Injection.

Das Problem ist dem Forscher zufolge, dass auch UNC-Netzwerk-Pfade in klickbare Links konvertiert werden. Klickt der Empfänger der einer Nachricht auf einen Link zu einem Netzwerkpfad, versucht Windows, sich über das Netzwerkprotokoll SMB mit dem entfernten Server zu verbinden. Zu diesem zweck werden auch der Anmeldename des Nutzers und ein Hash des NTLM-Passworts verschickt.

Dem Sicherheitsexperte Matthew Hickey gelang es anhand der Angaben von Hines, bei eigenen Tests die Anmeldedaten abzufangen. Ein Angreifer muss also lediglich eine Datei per UNC-Pfad in Zoom teilen – jeder Windows-Nutzer, der versucht, die Datei herunterzuladen, würde automatisch seine Windows-Anmeldedaten an den Angreifer übermitteln.

Laut Bleeping Computer ist es möglich, die gehashten Passwörter mit kostenlos erhältlichen Tools wie Hashcat zu entschlüsseln. Bei einem Test soll das fragliche Tool ein einfaches Kennwort innerhalb von 16 Sekunden geknackt haben.

Hickey weist zudem darauf hin, dass die Link-Funktion auch genutzt werden kann, um Anwendungen auf einem entfernten Computer zu starten – falls der UNC-Pfad auf eine lokale ausführbare Datei verweist. Windows führe ein solche Anwendung aber erst nach einer Bestätigung durch den Nutzer aus.

„Zoom sollte UNC-Pfade nicht als Hyperlinks behandeln. Ich habe Zoom informiert, als ich den Fehler auf Twitter veröffentlicht habe“, wird der Forscher von Bleeping Computer zitiert.