Zoom lekt gebruikersinformatie en wachtwoorden in Windows 10; een oplossing

De Zoom-client heeft een kwetsbaarheid die uw aanmeldingsgegevens voor Windows 10 kan lekken, en totdat er een permanente oplossing is, kunt u deze tijdelijke oplossing gebruiken.

Terwijl de gezondheidscrisis over de hele wereld aanhoudt, wenden veel mensen zich tot Zoom om via spraak en video te communiceren met collega’s om thuis te werken en in contact te blijven met familie en vrienden. Er is echter onlangs een nieuw beveiligingslek ontdekt met de desktop applicatie door beveiligingsonderzoeker Matthew Hickey (@HackerFantastic) en Twitter-gebruiker Mitch (@ g0dmode) waarmee hackers de Windows-inlognaam en het wachtwoord van mensen kunnen verkrijgen.

Volgens een door BleepingComputer gepubliceerd onderzoek wordt het probleem veroorzaakt doordat de Zoom-client omgaat met een Uniform Resource Locator (URL). Wanneer u de Zoom-chat gebruikt, wordt elke URL die u verzendt omgezet in een hyperlink (bijvoorbeeld https://www.softwaregeek.nl), wat handig is om websites te openen met de standaard webbrowser.

Het enige voorbehoud is dat als u een Universal Naming Convention (UNC) -pad verzendt (bijvoorbeeld \\192.1.1.112\file-sharing-folder), Zoom het pad ook zal omzetten in een bruikbare link. Als iemand op de link klikt, zal Windows 10 (of een andere versie) proberen verbinding te maken met een externe host met behulp van het Server Message Block (SMB) netwerkprotocol voor het delen van bestanden. Wanneer dit gebeurt, verzendt het systeem ook uw aanmeldingsnaam en NT Lan Manager (NTLM) -referentie-hash.

Hoewel de hash met uw gebruikersnaam en wachtwoord niet in duidelijke tekst wordt verzonden, kan de informatie binnen enkele seconden snel worden verkregen met behulp van veel tools die gratis online beschikbaar zijn. Naast dat iemand uw inloggegevens steelt, kunnen kwaadwillende personen dit beveiligingslek ook gebruiken om toepassingen op het lokale apparaat te starten wanneer er op de link wordt gedrukt.

In dit Windows 10 artikel zullen we u door de stappen leiden om het beveiligingsprobleem tijdelijk op te lossen waardoor aanvallers de inloggegevens van uw apparaat kunnen verkrijgen totdat er een permanente oplossing is.

  • Zoom inloggegevens oplossen met Groepsbeleid
  • Zoom-inloggegevens lek oplossen met behulp van het register

Zoom inloggegevens oplossen met Groepsbeleid 

Als u Windows 10 Pro (of Enterprise) gebruikt, is de eenvoudigste manier om het beveiligingslek met betrekking tot het lekken van referenties tijdens het gebruik van Zoom te voorkomen, met behulp van de Local Group Policy Editor.

Voer de volgende stappen uit om te voorkomen dat uw gegevens met Zoom naar een externe server worden verzonden:

Belangrijk: dit is slechts een tijdelijke oplossing. Als u dit beleid configureert op een computer die is aangesloten op een domein of op een apparaat dat is verbonden met een server voor het delen van bestanden, zoals Network Attached Storage (NAS), heeft u problemen met het openen van de bestanden op de externe computer.

  1. Open Start .
  2. Zoek naar  gpedit.msc  en klik op  OK  om de Editor voor lokaal groepsbeleid te openen .
  3. Blader door het volgende pad:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
  • Dubbelklik aan de rechterkant op Netwerkbeveiliging: Beperk NTLM: uitgaand NTLM-verkeer naar extern servers- beleid.
  • Selecteer de optie Alles weigeren .
  • Klik op de knop Toepassen . 
  • Klik op de OK knop.
  • Klik op de knop Ja om te bevestigen.

Zodra u de stappen hebt voltooid en u de Zoom-client-app in Windows 10 gebruikt, worden de aanmelding NTLM-inloggegevens niet naar een externe host gestuurd bij het openen van een share. 

Als u van gedachten verandert, kunt u de vorige instellingen terugdraaien met dezelfde instructies, maar bij stap 5 selecteert u de optie Alles toestaan .

Een uitzondering configureren (optioneel)

Als u dit beleid configureert op een apparaat dat verbinding moet maken met een externe server, kunt u met deze stappen een uitzondering maken om toegang te krijgen tot de bestanden of service:

  1. Open Start .
  2. Zoek naar  gpedit.msc  en klik op  OK  om de Editor voor lokaal groepsbeleid te openen .
  3. Blader door het volgende pad:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
  • Dubbelklik aan de rechterkant op Netwerkbeveiliging: NTLM beperken: Externe server uitzonderingen toevoegen voor NTLM-verificatiebeleid .
  • Geef het TCP / IP-adres op van de externe server waarmee u toegang wilt krijgen tot bronnen.
  • Klik op de knop Toepassen . 
  • Klik op de OK knop.

Nadat u de stappen hebt voltooid, zou Zoom uw aanmeldingsgegevens voor Windows niet langer naar een externe host moeten sturen en zou u toegang moeten blijven houden tot bestanden op een externe server.

Als u deze configuratie niet langer nodig heeft, kunt u de wijzigingen ongedaan maken met dezelfde instructies, maar zorg ervoor dat u de uitzonderingslijst wist.

Zoom-inloggegevens lek oplossen met behulp van het register

Als u Windows 10 Home gebruikt, heeft u geen toegang tot de Editor voor lokaal groepsbeleid, maar u kunt voorkomen dat Zoom uw inloggegevens naar een externe host verzendt door het register te wijzigen.

Waarschuwing: dit is een vriendelijke herinnering dat het bewerken van het register riskant is en dat het onomkeerbare schade aan uw Windows installatie kan veroorzaken als u het niet correct doet. Het wordt aanbevolen om een volledige back-up van uw pc te maken voordat u doorgaat. Dit is ook een tijdelijke oplossing. Als u dit beleid configureert op een computer die is aangesloten op een server voor het delen van bestanden, zoals Network Attached Storage (NAS), heeft u waarschijnlijk geen toegang tot bestanden op de externe server.

Volg deze stappen om te voorkomen dat de aanmeldingsgegevens van uw apparaat lekken wanneer u Zoom gebruikt: 

  1. Open Start .
  2. Zoek naar regedit en klik op het bovenste resultaat om het register te openen .
  3. Blader door het volgende pad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

Tip: in Windows 10 kunt u nu het pad kopiëren en plakken in de adresbalk van het register om snel naar de belangrijkste bestemming te springen.

  • Klik met de rechtermuisknop op de MSV1_0- sleutel, selecteer  Nieuw en klik op  DWORD-waarde (32-bits) .
  • Geef de sleutel de naam RestrictSendingNTLMTraffic en druk op Enter .
  • Dubbelklik op het zojuist gemaakte DWORD en stel de waarde in van 0 tot 2 .
  • Klik op de OK knop.

Nadat u de stappen hebt voltooid, mag de Zoom-client uw NTLM-inloggegevens niet langer via het netwerk naar een externe host sturen die iemand kan gebruiken om de aanmeldingsgegevens van uw apparaat te stelen.

U kunt de wijzigingen altijd ongedaan maken door dezelfde instructies te gebruiken, maar zorg er bij stap 5 voor dat u met de rechtermuisknop op de RestrictSendingNTLMTraffic- toets klikt en de optie Verwijderen selecteert .

Een uitzondering configureren (optioneel)

Als u dit beleid configureert op een apparaat dat verbinding moet maken met een externe server, kunt u met deze stappen een uitzondering maken om toegang te krijgen tot de bestanden of service:

  1. Open Start .
  2. Zoek naar regedit en klik op het bovenste resultaat om het register te openen .
  3. Blader door het volgende pad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

Tip: in Windows 10 kunt u nu het pad kopiëren en plakken in de adresbalk van het register om snel naar de belangrijkste bestemming te springen.

Klik met de rechtermuisknop op de MSV1_0- sleutel, selecteer  Nieuw en klik op  DWORD-waarde (32-bits) .

  • Noem de sleutel ClientAllowedNTLMServers en druk op Enter .
  • Dubbelklik op het zojuist gemaakte DWORD en geef het TCP / IP-adres op van de externe server waarmee u toegang wilt krijgen tot bronnen.
  • Klik op de OK knop.

Zodra u de stappen hebt voltooid, moet u door kunnen gaan met het openen van bestanden op een externe server terwijl u voorkomt dat de Zoom-desktopclient mogelijk uw NTLM-inloggegevens via het netwerk verzendt.

Als u de configuratie niet langer nodig heeft, kunt u de wijzigingen ongedaan maken met dezelfde instructies, maar zorg er voor dat u met de rechtermuisknop op de ClientAllowedNTLMServers- sleutel klikt en de optie Verwijderen selecteert .

Stotterproblemen met meerdere monitoren in Windows 10 20H1 worden eindelijk opgelost

De afgelopen weken waren niet goed voor Microsoft, omdat het bedrijf moeite heeft om een ​​nieuwe mislukte Windows 10 cumulatieve update te repareren. Hoewel Microsoft hun Windows updatefouten heeft opgelost, lijkt het erop dat er ook goed nieuws is voor Windows gebruikers.

Eerst gedeeld op Reddit (via Microsofters), lijkt het erop dat Microsoft eindelijk het stotterprobleem met meerdere monitoren heeft opgelost. Het probleem wordt al meer dan een jaar geteisterd door Windows 10-gebruikers, maar is eindelijk opgelost in Windows 10 20H1. Het probleem werd veroorzaakt door DWM, een vensterbeheerder in Windows 10, waarmee hardwareversnelling kan worden gebruikt om de grafische gebruikersinterface van Windows weer te geven.

“De meeste mensen werken met dubbele monitoren, en iets open hebben op je secundaire of derde monitor heeft invloed op de frametijden en introduceert micro-stotteren, soms kan alleen een dubbele monitor frametijden / micro-stotteren erger maken, zelfs als er niets open is op de secundaire monitor”.

Aldus Reddit

Het probleem is opgelost door Microsoft en verschillende gebruikers hebben het bevestigd op Reddit. De fix wordt echter uitgerold voor Windows 10-gebruikers met Windows 10 20H1-update, dus je moet het een paar maanden met micro-stutter beheren. Naar verwachting zal Microsoft de Windows 10 20H1-update in maart of begin april uitrollen.

Zo misbruiken phishers Excel

Evil Corp heeft een nieuwe manier gevonden om hun slachtoffers te phishing met behulp van Microsoft Excel-documenten.

De cybercrime-groep, ook bekend als TA505 en SectorJo4, zijn financieel gemotiveerde cybercriminelen. Ze staan ​​erom bekend dat ze zich richten op retailbedrijven en financiële instellingen met grote kwaadaardige spamcampagnes, met behulp van Necurs botnet; maar nu hebben ze een nieuwe techniek overgenomen.

In hun nieuwste zwendel verzenden ze bijlagen met HTML-omleidingen met kwaadaardige Excel-documenten. Via de koppelingen verspreiden ze externe toegang Trojaanse paarden ( RAT’s ), evenals de malware-downloaders die de Dridex en Trick bank-Trojaanse paarden hebben geleverd. Dit omvat ook Locky, BitPaymer, Philadelphia, GlobeImposter, Jaff ransomware-soorten.

“De nieuwe campagne maakt gebruik van HTML-omleidingen die aan e-mails zijn toegevoegd. Wanneer geopend, leidt de HTML naar de download Dudear, een kwaadaardig macro-beladen Excel-bestand dat de nuttige lading laat vallen. In tegenstelling tot vorige Dudear e-mailcampagnes droegen de malware als een bijlage of gebruikten kwaadaardige URL’s.” – Onderzoekers van Microsoft Security Intelligence.

Bij het openen van de HTML-bijlage downloadt het slachtoffer automatisch het Excel-bestand. Zodra ze het openen, is dit wat ze tegenkomen:

Zodra het doelwit op “Enable Editing” klikt, zoals hen in het document wordt opgedragen, zullen ze de malware op hun systeem ontketenen. Na dit punt zal hun apparaat ook worden geïnfecteerd met een IP-traceback-service, die “de IP-adressen van machines volgt die het schadelijke Excel-bestand downloaden.”

Threat Analytics-rapport  
(Microsoft)

Daarnaast bevat de malware GraceWire, een info-stelende trojan, die gevoelige informatie verzamelt en deze via een command-and-control-server teruggeeft aan de daders.

Bekijk de volledige lijst met Indicators of Compromise (IOC’s), inclusief SHA-256 hashes van de malware voorbeelden die in de campagne worden gebruikt:

Microsoft Defender ATP research team

De stille ontwikkeling van phishing technieken in 2019 door Microsoft

De slimste phishing trucs van dit jaar zijn het kapen van zoekresultaten van Google en misbruik maken van 404-foutpagina’s.

Eerder deze maand bracht Microsoft een rapport uit over de malware- en cyberbeveiligings trends van dit jaar. Een van de weinige trends die in het rapport werden benadrukt, was dat phishing een van de weinige aanvalsvectoren was die de afgelopen twee jaar een toename van activiteit zag.

Microsoft zei dat phishing-pogingen groeiden van minder dan 0,2% in januari 2018 tot ongeveer 0,6% in oktober 2019, waarbij 0,6% het percentage phishing-e-mails vertegenwoordigde dat werd gedetecteerd in het totale aantal e-mails dat Microsoft analyseerde.

Bron: Microsoft

Terwijl phishing aanvallen toe namen, daalde het aantal ransomware, cryptomining en andere malware infecties, zei het bedrijf destijds .

In een blogpost die woensdag 11 december is gepubliceerd, heeft de technologiegigant uit Redmond drie van de slimmere phishing-aanvallen besproken die het dit jaar heeft gezien.

Zoekresultaten Kapen

De eerste is een gelaagde malware-operatie waardoor een criminele bende de zoekresultaten van Google heeft vergiftigd. De regeling ging als volgt:

  • Oplichters hebben webverkeer gekaapt van legitieme sites naar websites die zij beheerden;
  • De domeinen werden het beste Google zoekresultaat voor zeer specifieke voorwaarden;
  • Phishers stuurden e-mails naar slachtoffers die het Google-zoekresultaat voor die specifieke term koppelden;
  • Als het slachtoffer op de Google link klikte met het beste resultaat, zouden ze op een door een aanvaller gecontroleerde website terechtkomen;
  • Deze website zou de gebruiker vervolgens omleiden naar een phishing pagina;
fig1-phishing-vergiftigd-search-results.png
Afbeelding: Microsoft

Met behulp van deze techniek konden phishers phishing-e-mails verzenden die alleen legitieme URL’s bevatten (bijvoorbeeld een link naar zoekresultaten) en een vertrouwd domein, bijvoorbeeld:

hxxps: // www [.] google [.] ru / # btnI & q =% 3Ca% 3EhOJoXatrCPy% 3C / a% 3E

hxxps: // www [.] google [.] ru / # btnI & q =% 3Ca% 3EyEg5xg1736iIgQVF% 3C / a% 3E

De campagne werd nog geheimzinniger gemaakt door het gebruik van locatiespecifieke zoekresultaten. Bij toegang door gebruikers in Europa leidde de phishing URL naar de redirector-website c77684gq [.] Beget [.] Tech , en uiteindelijk naar de phishing-pagina. Buiten Europa leverde dezelfde URL geen zoekresultaten op.

U zou denken dat het wijzigen van de zoekresultaten van Google gigantisch veel moeite kost, maar dit was eigenlijk vrij eenvoudig, omdat aanvallers zich niet op trefwoorden met veel verkeer richtten, maar zich in plaats daarvan concentreerden op wartaal zoals ‘hOJoXatrCPy’.

Bovendien zei Microsoft:

“de campagne werd nog geheimzinniger gemaakt door het gebruik van locatiespecifieke zoekresultaten.”

“Bij toegang door gebruikers in Europa leidde de phishing-URL naar de redirector-website c77684gq [.] Beget [.] Tech, en uiteindelijk naar de phishing-pagina. Buiten Europa leverde dezelfde URL geen zoekresultaten op,”

aldus Microsoft.

Misbruik Van 404-Foutpagina’s

Een andere slimme truc die dit jaar door phishers werd gebruikt, werd voor het eerst opgemerkt in een phishing campagne die Microsoft in augustus ontdekte en die in deze Twitter-thread vastlegde .

Bron: Microsoft

Deze campagne is sluw van slimheid.

Hoewel de meeste phishing-e-mails een link bevatten naar de phishing URL waarnaar ze gebruikers willen lokken, bevatten aanvallers voor deze campagne ook links die naar niet-bestaande pagina’s wezen.

Wanneer de beveiligingssystemen van Microsoft de link scannen, kregen ze een 404 foutmelding terug omdat de link niet bestaat en zou Microsoft de link als veilig beschouwen.

Als een echte gebruiker de URL echter zou openen, zou de phishing site de gebruiker detecteren en deze omleiden naar een werkelijke phishing pagina in plaats van de standaard 404 foutpagina van de server.

fig7-phishing-microsoft-rendering-site.png
Bron: Microsoft

Microsoft zei dat wanneer deze truc werd gekoppeld aan technieken zoals algoritmen voor het genereren van subdomeinen en het regelmatig wijzigen van het hoofddomein, aanvallers ‘vrijwel onbeperkte phishing-URL’s‘ konden genereren.

Redirector code
Bron: Microsoft

Omdat de verkeerd ingedeelde 404-pagina wordt weergegeven op een niet-bestaande URL in een door een aanvaller beheerd domein, kunnen de phishers willekeurige URL’s gebruiken voor hun campagnes. We zagen bijvoorbeeld dat deze twee URL’s werden gebruikt in phishing campagnes; de aanvallers voegden een enkel karakter toe aan het tweede om een ​​nieuwe URL te genereren maar dezelfde phishing-pagina te tonen:

  • hxxps: [.] [.] // skype-online8024 web app / 8cc1083b0ffdf1e5b9594c045c825b02d41d8cd98f00b204e9800998ecf8427e # ZG1jY2FubkBtb3Jicm9zLmNvbQ
  • hxxps: [.] [.] // skype-online8024 web app / 8cc1083b0ffdf1e5b9594c045c825b02d41d8cd98f00b204e9800998ecf8427e # ZG1jY2FubkBtb3Jicm9zLmNvbQs

We hebben ook vastgesteld dat de aanvallers gerandomiseerde domeinen hebben, waardoor het aantal phishing-URL’s exponentieel is toegenomen:

  • outlookloffice365usertcph4l3q [.] web [.] app
  • outlookloffice365userdqz75j6h [.] web [.] app
  • outlookloffice365usery6ykxo07 [.] web [.] app

Al deze niet-bestaande URL’s retourneerden de 404-foutpagina, dat wil zeggen de phishing-pagina:

 Wanneer toegang tot phishing-URL wordt verkregen, reageert de server met het HTTP 404-foutbericht, een phishing-pagina
Bron: Microsoft

Man in the Middle (MitM) Gebaseerde Phishing

Een derde phishing-truc die Microsoft dit jaar als een slimme phishing aanval wilde benadrukken, was een die gebruik maakte van een man-in-the-middle-server (MitM). Microsoft legt uit:

“Eén specifieke phishing-campagne in 2019 bracht imitatie naar een hoger niveau. In plaats van dat aanvallers elementen van de vervalste legitieme website kopieerden, legde een man-in-the-middle-component bedrijfsspecifieke informatie zoals logo’s, banners, tekst en achtergrondafbeeldingen vast De rendering-site van Microsoft. […] Het resultaat was exact dezelfde ervaring als de legitieme aanmeldingspagina, wat het vermoeden aanzienlijk kon verminderen. “

Deze op MitM gebaseerde techniek is echter niet perfect, omdat de URL van de phishing-site nog steeds zichtbaar is in de adresbalk, net als op elke andere phishing-site.

Dit betekent dat zelfs als gebruikers kunnen worden misleid door de perfect ogende inlogpagina, ze rampen kunnen voorkomen door de URL van de pagina nauwkeurig te inspecteren.

Bron: Microsoft

Microsoft: de update van Windows 10 november 2019 is niet het nieuwe normaal

Eerder deze maand bracht Microsoft zijn tweede en laatste grote Windows 10-update van 2019 uit aan alle Windows 10-gebruikers. De update van Windows 10 november 2019 omvatte prestatieverbeteringen, bedrijfsfuncties en kwaliteitsverbeteringen.

Op het eerste gezicht leek de 180KB die de update vereiste, onjuist; maar Microsoft legde uit dat het door de aard van het Enablement-pakket zo klein is. De kleine update is in wezen een “op schakelaar”, die gewijzigde bestanden activeert vanaf de update van mei 2019. Gebruikers moeten daarom alle eerdere cumulatieve updates installeren.

“Voordat een apparaat 19H2 kan worden aangeboden door Windows Update, moeten alle“ aanbevolen ”updates zoals maandelijkse cumulatieve updates of Adobe Flash-beveiligingsupdates zijn geïnstalleerd. We zijn van plan dit gedrag de komende maanden te verbeteren, zodat andere updates niet eerst geïnstalleerd hoeven te worden. ” Microsoft

Ongemak opzij, de update voldeed niet echt aan de verwachtingen. Terwijl gebruikers grote verbeteringen verwachtten, waren velen teleurgesteld toen ze ontdekten dat het slechts kleine reparaties oplevert.

Microsoft heeft de negatieve feedback erkend die het pilootproject heeft ontvangen van Insider-gebruikers en heeft sindsdien aangegeven dat het niet opnieuw zal verschijnen; wat suggereert dat het bedrijf in de toekomst zal terugkeren naar het oude model van twee belangrijke jaarlijkse updates.

“Er is geen formeel plan om toekomstige releases op dezelfde manier te leveren.” Microsoft

Rapporten stellen ook dat de lay-out van de update van Windows 10 november 2019 een uitzondering is, omdat Microsoft het serviceschema van zijn belangrijkste updates aanpast aan een nieuw schema. In december wordt de Windows 10 20H1 RTM-kandidaat afgemeld en kunnen gebruikers een nog eerdere update verwachten.

Als u de update van Windows 10 november 2019 wilt installeren, controleer dan op updates in Windows Update binnen het menu Instellingen.

Pin It on Pinterest