Главное Свежее Вакансии   Проекты
arrow-right Created with Sketch. Андрей Мареев 271 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Как исправить проблемы с безопасностью Zoom и утечкой пароля в Windows 10?

У клиента Zoom присутствует уязвимость, которая может привести к утечке информации, применяемой пользователями для входа в Windows 10, и пока обнаруженная неисправность не будет устранена, можно использовать.

Введение


Пользователи используют современные компьютерные устройства, особенно их наиболее популярные образцы, такие как стационарные персональные компьютеры и ноутбуки различного модельного и конструктивного ряда, массово и повсеместно для исполнения множества, разнообразных по уровню затрат, операций. А благодаря разработке и внедрению современного программного обеспечения, самым востребованным представителем которого является операционная система «Windows» от специалистов корпорации «Microsoft», для управления всеми запущенными на компьютерах процессами и контролю за безошибочностью их исполнения, задействование компьютерных устройств различной комплектации стало повсеместным.

Вовлеченность компьютеров в ежедневную деятельность пользователей, как для деловых, так и для личных целей, особенно возросла после введения глобальных ограничений на передвижение, повсеместной изоляции и переводом большинства пользователей на удаленный способ работы (в связи с распространением короновирусной инфекции «COVID-19»).

И для устойчивого повседневного общения дистанционным способом пользователи массово стали применять различные доступные приложения. Вероятно, самым популярным является инструмент «Zoom», позволяющий устраивать голосовые и видео конференции с большой группой коллег и оставаться постоянно на связи с семьей и друзьями. Однако недавно, в прикладном стационарном приложении исследователем безопасности Matthew Hickey («@HackerFantastic») и пользователем социальной сети «Twitter» Mitch («@g0dmode») была обнаружена новая уязвимость в приложении «Zoom», позволяющая злоумышленникам получить имя пользователя и пароль для входа в операционную систему «Windows».

Согласно опубликованному исследованию, проблема вызвана способом обработки клиентом «Zoom» унифицированного указателя ресурса («URL»). При использовании чата «Zoom» любой отправляемый «URL-адрес» преобразуется в гиперссылку (например, https://hetmanrecovery.com), что удобно для открытия веб-сайтов с помощью веб-браузера по умолчанию.

Главное же предостережение заключается в том, что, если пользователи отправят путь к месторасположению файла (например, \\192.1.1.112\папка_для _общих_файлов), служебный инструментарий «Zoom» также преобразует данный адрес («UNC-путь») в действующую ссылку. Если кто-нибудь щелкнет ссылку, операционная система «Windows 10» (или другая версия) попытается подключиться к удаленному хосту, используя сетевой протокол обмена файлами «Server Message Block» («SMB»). Когда соединение произойдет, система также отправит имя пользователя для входа и хэш учетных данных («NTLM»).

Хотя хэш, содержащий применяемое для входа в систему имя пользователя и пароль, не отправляется в виде открытого текста, информацию можно быстро получить в течение нескольких секунд, используя множество инструментов, свободно доступных в сети «Интернет». В дополнение к потенциальной возможности совершить кражу пользовательских учетных данных, злоумышленники также могут использовать указанную уязвимость для запуска приложений на локальном устройстве при действии ссылки.

В данном руководстве по описанию заложенных возможностей операционной системы «Windows 10» мы рассмотрим шаги по временному устранению уязвимости безопасности, которая может позволить злоумышленникам получить учетные данные для входа на пользовательское устройство, до ее окончательного исправления разработчиками «Zoom».

Как исправить утечку данных учетной записи через уязвимость «Zoom» с помощью приложения «Редактор локальной групповой политики» в «Windows 10»?


Если пользователи на своих компьютерных устройствах задействуют, для управления и контроля за исполнением востребованных действий, операционную систему «Windows 10 Pro» (или «Windows 10 Enterprise»), то самый простой способ предотвратить уязвимость утечки учетных данных для входа в систему при использовании приложения «Zoom» — это воспользоваться доступными возможностями служебного инструмента «Редактор локальной групповой политики», встроенного в функционал операционной системы по умолчанию.

Чтобы предотвратить отправку учетных данных на удаленный сервер с чата уязвимого приложения «Zoom», пользователям необходимо выполнить следующий упорядоченный алгоритм простых пошаговых действий.

Важное замечание. Представленный способ является временным решением, если пользователи настраивают данную политику на компьютере, подключенном к домену, или на устройстве, соединенном с сервером общего использования для обмена файлами, например, с сетевым хранилищем («NAS»), так как на удаленном компьютере возникнут проблемы с доступом к файлам.

Воспользуйтесь любым приемлемым способом, в соответствии с личными предпочтениями, и откройте приложение «Редактор локальной групповой политики». Например, нажмите на кнопку «Поиск», выполненную в виде схематического изображения «лупы» и расположенную в нижнем левом углу рабочего стола на закрепленной «Панели задач», и добейтесь отображения поисковой панели. В выделенном поле постановки запроса введите фразу «Изменение групповой политики». Ответственная служба произведет поиск совпадений и в разделе «Лучшее соответствие» представит итоговый искомый результат. Щелкните по нему левой кнопкой мыши или в правом боковом единораздельном меню управления нажмите на кнопку «Открыть», и приложение «Редактор локальной групповой политики» незамедлительно будет отображено.


В запущенном окне редактора в левой боковой панели выполните пошаговый последовательный переход к конечной востребованной папке политики, упорядоченно следуя представленному пути: «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности».


Для отображения вложенных элементов каждой папки используйте сдвоенный щелчок левой кнопки мыши по наименованию директории или нажимайте на, непосредственно связанную с каждой указанной папкой, индикативную стрелку управления «вправо».


В правой боковой панели окна, используя колесо вращения компьютерной мыши или ползунок полосы прокрутки, отыщите в представленных вложенных политиках раздел «Сетевая безопасность: ограничения NTLM: исходящий трафик NTLM к удаленным серверам» и дважды щелкните его левой кнопкой мыши для перехода к связанных настройкам.


В верхней части нового отдельного всплывающего окна свойств исходящей сетевой безопасности выполните переход во вкладку «Параметр локальной безопасности» (если по каким-либо причинам данная вкладка не была отображена при входе изначально по умолчанию).

Нажмите на пустое изменяемое поле и, в раскрывающейся дополнительной панели меню, содержащей на выбор несколько установленных и доступных для использования вариантов, выберите параметр «Запретить все».


Нажмите на кнопку «Применить» для задействования установленных указаний.

Нажмите на кнопку «ОК» и сохраните внесенные изменения.

Во всплывающем предупреждающем системном сообщении «Подтверждение изменения параметра» нажмите на кнопку «Да», предоставив системе разрешение на обновление сетевых критериев.

После выполнения описанного упорядоченного алгоритма пошаговых действий, при использовании клиентского приложения «Zoom» в операционной системе «Windows 10» учетные данные «NTLM» для входа не будут отправляться на удаленный серверный узел (хост) при доступе к общему ресурсу.

Если пользователям в дальнейшем потребуется снять установленную блокировку, то можно откатить настройки к предыдущему значению. Последовательно используйте представленные инструкции, но в шаге «№ 5» выберите, из доступных для взаимодействия вариантов, параметр «Разрешить все».


Настройка исключения (необязательно)


Если пользователи настраивают данную политику на устройстве, которое должно подключаться к удаленному серверу, то можно создать исключение для доступа к востребованным файлам или службе, выполнив следующий простой последовательный порядок пошаговых действий.

Запустите приложение «Редактор локальной групповой политики», применив описанный ранее или другой по выбору, удобный и комфортный, способ. Например, щелкните правой кнопкой мыши по кнопке «Пуск», расположенной на закрепленной «Панели задач» в нижнем левом углу рабочего стола, или нажмите совместно комбинацию клавиш «Windows + X» и откройте меню «Опытного пользователя». В представленном перечне пригодных для взаимодействия служебных инструментов и разрешенных действий, отыщите и выберите раздел «Выполнить».


В открывшемся отдельном диалоговом окне введите в исполняемом поле «Открыть» команду «gpedit.msc», нажмите на копку «ОК» или клавишу «Ввод» на клавиатуре и востребованное приложение будет немедленно запущено.


Перейдите в представленном открывшемся окне приложения «Редактор локальной групповой политики» в левой боковой панели, применяя последовательные пошаговые действия, выраженные в осуществлении сдвоенного щелчка левой кнопки мыши по названию директории или нажатии на индикативную стрелку управления «вправо», к конечной требуемой папке политики, расположенной по следующему адресу: «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности».


В доступном вложенном содержимом в правой боковой панели, применяя ползунок полосы прокрутки или колесо вращения компьютерной мыши, отыщите, среди отображенных вариантов политик, и щелкните дважды левой кнопкой мыши раздел «Сетевая безопасность: ограничения NTLM: добавить удаленные серверы в исключения проверки подлинности NTLM» для перехода к востребованным настройкам.


В следующем новом системном окне свойств отмеченной политики перейдите во вкладку «Параметр локальной политики» (если по отдельным причинам данный выбор не был осуществлен по умолчанию).

Укажите в выделенном изменяемом поле адрес интересующего «TCP / IP» удаленного сервера, к ресурсам которого пользователи будут пытаться получить доступ, для внесения его в список исключений.


Нажмите на кнопку «Применить», указав системе внести соответствующие изменения.

Нажмите на кнопку «ОК», что сохранить примененные обновленные параметры.

После выполнения представленного простого последовательного порядка пошаговых действий, приложение «Zoom» больше не должно отправлять учетные данные для входа в операционную систему «Windows» на удаленный серверный узел (хост), и пользователи смогут продолжить получать доступ к востребованным файлам дистанционно на выделенном сервере.

Когда заданная конфигурация больше будет не нужна, пользователи смогут отменить принятые изменения, повторив описанные инструкции без изменения порядка, но при последовательном исполнении в шаге «№ 5» обязательно очистив список исключений, оставив соответствующее изменяемое поле абсолютно пустым.


Как устранить потенциальную утечку данных пользовательского профиля через уязвимость «Zoom» с помощью приложения «Редактор реестра» в «Windows 10»?


В случае, если пользователи в своей ежедневной деятельности задействуют на персональном компьютерном устройстве операционную систему «Windows 10» версии «Home», то воспользоваться способом, представленным в предыдущем разделе, не удастся. «Windows 10 Home» имеет несколько ограниченный функционал и, по умолчанию, приложение «Редактор локальной групповой политики» в системе отсутствует. Но пользователи данной версии «Windows» смогут запретить средству для общения «Zoom» отправлять учетные данные на удаленный хост, установив соответствующие ограничение в реестре операционной системы.

Предупреждение. Любые действия, связанные с внесением дополнительных изменений в реестр, следует выполнять осознанно и осторожно, потому как случайные ошибки могут привести к необратимому повреждению как отдельных служб и приложений, так и всей операционной системы. Перед редактированием настоятельно рекомендуется создать полную резервную копию данных пользовательского персонального компьютера. Кроме того, данное решение, способное предотвратить утечку данных профиля, временное. Если пользователи зададут соответствующий параметр реестра в системе компьютера, подключенному к файлообменному серверу, например, к сетевому хранилищу («NAS»), то, вероятно, получить доступ к файлам на удаленном сервере пользователи не смогут.

Чтобы предотвратить утечку информации с данными пользовательской учетной записи для входа в устройство под управлением операционной системы «Windows 10» при использовании приложения связи «Zoom», пользователям предстоит выполнить следующий пошаговый алгоритм простых последовательных упорядоченных действий.

Откройте востребованное приложение «Редактор реестра» любым известным или наиболее предпочитаемым, исходя из личных предпочтений каждого пользователя персонально, способом. Например, нажмите на закрепленной «Панели задач», в нижнем левом углу рабочего стола, на кнопку «Пуск», представленную схематическим графическим символом «проекции окна», и откройте главное пользовательское меню «Windows». В основном упорядоченном перечне, установленных на компьютере служебных инструментов и сторонних приложений, отыщите, используя для перемещения по вложенным элементам меню колесо вращения компьютерной мыши или ползунок полосы прокрутки, и щелкните раздел «Средства администрирования Windows» для представления дополнительного скрытого меню.


В открывшейся вложенной панели отдельного меню, задействуя описанные стандартные способы перемещения, найдите и выберите раздел «Редактор реестра», мгновенно открывающий одноименное искомое приложение.


В левой боковой панели навигации окна запущенного приложения пошагово выполните переход по следующему пути (без наружных кавычек): «Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0», последовательно дважды щелкая левой кнопкой мыши по названию каждой, из указанных в адресе, папок или нажимая на связанную индикативную стрелку управления «вправо», для отображения вложенного содержимого директории и дальнейшего выбора востребованного элемента.


Совет. В операционной системе «Windows 10», чтобы избежать ошибок при переходе к требуемому реестру в связи с большим количеством схожих наименований директорий, пользователи могут скопировать и вставить полный путь в адресную строку реестра в верхней части окна, а затем нажать на клавишу «Ввод» на клавиатуре для исполнения, чтобы быстро открыть искомое место назначения.


Щелкните правой кнопкой мыши по наименованию конечной директории «MSV1_0». В открывшемся всплывающем контекстном меню, из перечня представленных для взаимодействия элементов, отыщите и наведите указатель компьютерной мыши на раздел «Создать», а затем в дополнительном отображенном меню выберите раздел «Параметр DWORD (32 бита)».


В правой боковой панели окна редактора в соответствующем изменяемом поле присвойте новому параметру имя «RestrictSendingNTLMTraffic» и нажмите на клавиатуре на клавишу «Ввод» для сохранения заданного изменения.


Дважды щелкните левой кнопкой мыши по вновь созданному параметру «DWORD» или нажмите правой кнопкой мыши по его названию и, в открывшемся всплывающем контекстном меню, выберите раздел «Изменить».


В новом отдельном окне «Изменение параметра DWORD (32 бита)» установите в изменяемом поле «Значение» числовой коэффициент «2» вместо заданного изначально по умолчанию «0».


Нажмите на кнопку «ОК» для принятия внесенных изменений.

После выполнения данного пошагового алгоритма последовательных упорядоченных действий, клиент «Zoom» больше не должен отправлять пользовательские учетные данные «NTLM» по сети на удаленный пункт приема (хост), который злоумышленники смогут использовать для кражи информации, позволяющей осуществлять вход на компьютерное устройство.

Пользователи всегда смогут отменить установленные изменения в реестре операционной системы, используя представленные инструкции, с тем лишь исключением, что в шаге «№ 5» обязательно следует щелкнуть правой кнопкой мыши по наименованию параметра «RestrictSendingNTLMTraffic» и выбрать во всплывающем контекстном меню раздел «Удалить».


Полную версию статьи со всеми дополнительными видео уроками смотрите в источнике.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем