Vulnerabilità in Sistemi di Videoconferenza Zoom
04/02/2020
Proto: N020420.
Con la presente Yoroi desidera informarla riguardo alla recente scoperta di vulnerabilità all’interno del sistema di videoconferenza Zoom, uno tra i sistemi di remote conference più diffusamente utilizzato per la prosecuzione delle attività lavorative durante l’emergenza sanitaria COVID-19 in atto.
A causa di lacune nella validazione dei nomi UNC (Universal Naming Convention) all’interno dei messaggi scambiati nelle chat delle stanze di videoconferenza Zoom, un attaccante remoto può essere in grado di inviare link malevoli ai partecipanti alla riunione. Collegamenti che se inavvertitamente cliccati possono comportare rischi rilevanti per la sicurezza aziendale, a partire dal furto delle credenziali utente sino all'installazione di backdoor ed impianti malware sui laptop bersaglio.
Figura. Esempi link malevoli (Source:LawrenceAbrams)
La problematica risulta affliggere le versioni del Client Zoom per sistemi desktop Microsoft Windows.
Per via dell’aumentata frequenza di utilizzo delle soluzioni di videoconferenza, tra cui anche Zoom, e delle recenti campagne di attacco di “Zoom-Bombing”, ovvero accessi abusivi alle meeting room indovinando i codici conferenza, Yoroi consiglia di comunicare ai vostri utenti di prestare attenzione ad eventuali partecipanti inattesi ed in particolare di domandare ai partecipanti riguardo alla paternità di eventuali link condivisi e, qualora in dubbio, di domandare supporto ai propri referenti IT.
Yoroi suggerisce inoltre di valutare l’applicazione di apposite Group Policy di Dominio per limitare l’utilizzo di autenticazioni basate su hash NTLM verso server esterni alle reti locali.
Figura. Esempio disabilitazione NTLM per servizi esterni
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
