【緊急自救】修改群組政策設定 煞停Zoom 派送Windows登入密碼
喺在家工作嘅安排下,好多人都用緊視像會議應用服務 Zoom 嚟開會,甚至攞嚟開 group party 聯誼。不過,最新公布嘅一個漏洞,用家只要點擊 group chat 內一條 UNC link,就會將自己嘅 Windows 登入名稱及密碼送到黑客手上!唔想咁樣,請立即修改 Windows 設定自救!
好心做壞事
今次呢個漏洞係由網絡安全研究員 @_godmode 所發現,UNC(Universal Naming Convention)係一種通用命慣例,用嚟顯示目的地嘅路徑,例如 「C:\download\myphoto.jpg」,就顯示咗 myphoto.jpg 呢張相放喺電腦內邊個位置。Zoom 嘅漏洞就出現喺系統會將呢條 UNC 路徑變成可點擊連結,情況就好似你分享一條網址俾朋友,系統會自動變成可點擊連結一樣,目的當然係方便用家直接開啟唔使 Copy & Paste。既然係方便嘅嘢,點解又會出事呢?因為當 Windows 用家喺 Zoom 內點擊其他人放出嚟嘅 UNC 路徑,Windows 就會自動連接對方嘅電腦,根據 SMB file-sharing protocol 去打開圖片,而過程中會將用家嘅 Windows 登入姓名及 NTLM(NT LAN Manager) 加密密碼送出做驗證,另一位網絡安全研究員 Matthew Hickey 試過之後,就話雖然密碼有加密,但只要用免費工具例如 Hashcat,只須十幾秒就可以輕鬆完成破解,換言之係毫無保障。
除此之外,研究員仲話連執行檔都可以經 UNC 路徑送出,雖然點擊後 Windows 會彈出安全警示,但都難免會有人中招。喺現時黑客瘋狂闖入 Zoom 會議嘅情況下,再加上視像會議通常幾十人參與,好多時用家都未必知道參與者嘅身份,一時不慎就有可能開錯嚟睇。
自救方法
呢個漏洞其實必須由 Zoom 修補,停止將 UNC 路徑變成可點擊連結,不過現時 Zoom 仲未有反應。喺咁嘅情況下大家就唯有自救喇,用家必須自行修改 Windows 系統 Group Policy 設定,停用自動發送 NTML 登入資料。
Windows 10 Pro 或 Enterprise 版本用家只須點選 Start,搜尋 gpedit.msc 然後開啟 Local Group Policy Editor,再進入 Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers,然後將設定修改為 Deny 即可。不過如果係 Windows 10 Home 版本用家,係唔可以直接去到 Group Policy Editor 設定,必須通過 Windows Registry 去修改。方法係喺 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 內將數值修改為 2 就得。
相關文章:【遙距工作注意】Zoom安全使用指南
