Actu
Faille de sécurité dans Zoom
avril 2020 par David Higgins, Directeur Technique et Shay Nahari, Directeur de la Red Team chez CyberArk
Un chercheur en sécurité a identifié une vulnérabilité dans le service de visioconférence Zoom sur Windows. Celle-ci permettrait en effet aux cybercriminels de partager dans l’application des liens malveillants qui divulgueraient alors les identifiants du réseau Windows de tout utilisateur qui cliquerait dessus.
David Higgins, Directeur Technique chez CyberArk, expose son analyse :
« Avec une telle augmentation de l’utilisation d’outils de communication, tels que Zoom, qui permettent de rester connecté au travail, à la famille et aux amis, il n’est pas surprenant que cela devienne une cible de choix pour les cybercriminels.
Nous sommes de plus en plus nombreux à nous appuyer sur ce type de technologies pour améliorer l’efficacité du télétravail, c’est pourquoi il est important que nous réexaminions nos mesures de sécurité pour aider les utilisateurs à se prémunir contre le cyber-risque croissant.
La "nouvelle normalité" actuelle peut être particulièrement difficile à gérer pour les organisations. Les cybercriminels utilisent cette augmentation des connexions à distance pour exploiter les vulnérabilités. Leur but : obtenir un accès à un réseau ainsi qu’une élévation de leurs privilèges pour leur donner un accès total afin de compromettre les réseaux et les données.
Une simple campagne d’information sur les dangers de cliquer sur des liens ou de travailler avec un réseau Wifi non sécurisé constitue un bon point de départ. Associé au déploiement de technologies telles que la gestion des accès à privilèges, qui limite les dommages si une compromission se produit, cela peut aider à protéger les données et les systèmes critiques contre les cybercriminels opportunistes. »
Shay Nahari, directeur de la Red Team chez CyberArk, ajoute :
« La vulnérabilité qui permettrait aux cybercriminels d’obtenir les identifiants réseau Windows des utilisateurs des discussion de groupe sur Zoom est un comportement connu de Windows impliquant le protocole NTLM. En effet ceci est lié à la façon dont Windows gère l’authentification NTLM (pré Kerberos) et la capacité de l’application Zoom à traduire les chemins UNC (Universal Naming Convention) automatiquement.
En s’appuyant sur ce protocole ancien, pour gérer les chemins UNC, Zoom permet aux attaquants d’utiliser d’autres protocoles communs (comme SMB, Server Message Block) par injection de code, pour envisager de plus larges attaques sur les réseaux d’entreprise. »
