400-887-1095

Zoom客户端聊天模块曝“惊天漏洞”，可暴力破解目标用户Windows登录凭据

4月1日，Windows 版 Zoom 客户端曝出了一个极其严重的安全漏洞。攻击者通过该漏洞，可逆向“爆破”目标用户的Windows的登录凭据，掌握系统最高权限，并随意启动目标用户的程序，如CMD命令符等。这一漏洞的披露，对远程工作者犹如晴天霹雳，全球上下一片哗然。

震惊之余，智库也对此进行了深度追踪分析，发现威胁起源于Zoom客户端中的一个聊天模块。该模块是Zoom官方为优化远程办公体验，开设的一个用于文本交流的群聊功能。在这里，所有成员发出来的URL链接都会被系统转换，以便群内的其他成员点击。

然而，这一“转换”恰恰却成了黑客攻陷用户系统的绝佳突破口。因为Zoom客户端不仅会处理群聊中的常规URL链接，还会将员工远程访问共享文件的Windows网络UNC 路径也给转换成可被点击的链接。

UNC（Universal Naming Convention）：通用命名规范。主要指局域网上共享资源的文件目录路径。比如，要访问softer计算机中名为it168的共享文件夹，用UNC表示就是\softerit168。

当用户点击UNC路径时，Windows会通过发送用户登录名和NTLM密码哈希值，使用SMB网络共享文件协议连接到远程站点。在此过程中，Zoom用户的IP地址、域名、用户名和主机名随时都可能被泄露。瞬而，黑客组织便可据此使用John the Ripper之类的密码破解器，在几秒钟之内，迅速暴力破解使用普通GPU（Graphics Processing Unit：图形处理器，主要用于系统信息转换驱动）的电脑密码。

SMB（ServerMessageBlock）文件共享协议：也称服务器消息模块，是一种局域网文件共享传输协议，常被用来作为共享文件安全传输研究的平台，而NTLM则是该协议下的一种身份验证方式。

虽然，Windows会在程序被执行前发出是否允许运行的提示。但关于此次漏洞的爆破“影响值”，安全研究员提醒仍不容小觑。20230822zx