[2020.04.01] Zoom 윈도우 사용자 크리덴셜 노출 취약점

요약

- 취약점 : Zoom 윈도우 클라이언트의 채팅 기능에 UNC 패스 삽입 취약점이 존재. 해커는 링크를 클릭한 사용자의 윈도우 크리덴셜을 탈취 할 수 있음.

- 취약 원인 : 채팅 시 주고 받는 모든 URL은 하이퍼링크로 변환되어 채팅 멤버 간 클릭으로 해당 페이지를 열수 있게 되어 있는데, 

                 Zoom 클라이언트는 윈도우 네트워킹 UNC(Universal Naming Convention) 패스 또한 클릭 가능 한 링크로 변환 해줌

- 정보 노출 과정: 

① 사용자가 UNC 경로 링크를 클릭

② 윈도우가 파일공유 SMB 프로토콜을 이용해 원격사이트에 접속해 해당 파일을 열고자 시도

③ 윈도우의 초기 설정에 따라 윈도우는 사용자의 로그인 이름, 무료 앱 등을 이용해 쉽게 풀 수 있는 NTLM 패스워드 해시를 보냄

④ 사용자 로그인 이름 및 패스워드 노출 

- 영향성 : 현재 상용되고 있는 그래픽 카드와 CPU의 성능으로는 쉬운 패스워드의 경우 16초 정도 밖에 걸리지 않을 정도로 크리덴셜 탈취가 매우 쉬움.

  해당취약점을 이용해 로컬 컴퓨터에 프로그램 또한 실행할 수 있음 

 (단, 프로그램 실행 전 사용자의 허가 메시지창이 뜨기 때문에 실행 전 사용자가 인지 가능)

- 대응 방안 : UNC 패스의 하이퍼링크로 전환을 제한해야 함.

      현재까지  Zoom에서는 해당 취약점과 관련해 공식적인 답변 없음.

- 임시 방안 : 

① Group Policy Editor(로컬 그룹 정책 편집기) - NTML 크리덴셜을 자동으로 원격 서버에 보내는 설정을 Deny All로 변경 

Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → 

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers → Deny All로 설정

컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안옵션 → 네트워크 보안 : NTML 제한: 원격 서버로 나가는 NTML 트래픽 

→ ‘모두 거부’로 설정 

② Windows 10 사용자 경우 레지스트리 설정 : RestrictSendingNTLMTraffic 값 생성 

Group Policy Editor 접근이 불가하여 Windows 레지스트리에 해당 정책 설정이 필요

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]

"RestrictSendingNTLMTraffic"=dword:00000002

참고자료

출처 : hxxps://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/