日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Zoom開發(fā)至今，已經(jīng)九年了。在冠狀病毒流行期間，人們迫切需要一個易于使用的視頻會議應用程序，因此，Zoom在一夜之間成為數(shù)百萬人所青睞的工具。

創(chuàng)新互聯(lián)專注于企業(yè)全網(wǎng)營銷推廣、網(wǎng)站重做改版、召陵網(wǎng)站定制設(shè)計、自適應品牌網(wǎng)站建設(shè)、H5響應式網(wǎng)站、購物商城網(wǎng)站建設(shè)、集團公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為召陵等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

盡管Zoom是一種高效的在線視頻會議工具，但就隱私和安全性而言，它似乎不夠理想。

根據(jù)網(wǎng)絡(luò)安全專家@ _g0dmode的最新發(fā)現(xiàn)，這也得到研究人員Matthew Hickey和Mohamed A. Baset的證實，Windows的Zoom客戶端容易受到“ UNC路徑注入”漏洞的攻擊，該漏洞可能使遠程攻擊者竊取Windows系統(tǒng)用戶的登錄憑據(jù)。

這種攻擊涉及SMBRelay技術(shù)，其中Windows系統(tǒng)在嘗試連接和下載托管文件時，會自動向遠程SMB服務(wù)器公開用戶的登錄用戶名和NTLM密碼哈希。

只有當Windows的Zoom客戶端支持遠程UNC路徑，該攻擊才可能發(fā)生，該路徑會將此類可能不安全的URL轉(zhuǎn)換為個人聊天或群聊中收件人的超鏈接。

要竊取運行Windows用戶的登錄憑據(jù)，攻擊者需要做的就是通過其聊天界面向受害者發(fā)送一個精心制作的URL(即\\ xxxx \ abc_file)，如圖所示，然后等待受害者點擊，只需一次即可成功。

需要注意的是，攻擊者捕獲的密碼不是明文，但是可以使用HashCat或Ripper John等密碼破解工具，在幾秒鐘內(nèi)便可輕松破解一個薄弱的密碼。

在辦公環(huán)境這樣的共享網(wǎng)絡(luò)中，被盜的登錄詳細信息可以立即重用，來破壞其他用戶或IT資源，并發(fā)起進一步的攻擊。

除了竊取Windows憑據(jù)外，還可以利用該漏洞啟動目標計算機上已經(jīng)存在的任何程序或下載其他程序，為攻擊者進行社會工程學活動做準備。

Zoom已經(jīng)收到有關(guān)此漏洞的通知，但是由于尚未修復，建議用戶使用替代的視頻會議軟件或在Web瀏覽器中使用Zoom，代替其客戶端應用程序避免被攻擊的風險。

除了使用安全密碼外，Windows用戶還可以更改安全策略設(shè)置，限制操作系統(tǒng)將其NTML憑據(jù)自動傳遞給遠程服務(wù)器。

正如前文所述，在過去兩天里，這不是Zoom被發(fā)現(xiàn)的唯一隱私或安全問題。就在昨天，另一份報告證實，盡管Zoom對用戶聲稱 “正在使用端到端加密連接”，但實際上，并未使用端到端加密來保護其用戶數(shù)據(jù)免遭窺視。

昨日，紐約總檢察長致信Zoom，要求公司處理敏感數(shù)據(jù)，要更透明，要切實采取措施保護用戶數(shù)據(jù)。信中除了提及Zoombombings的事件，還問及Zoom應如何處理系統(tǒng)中存在的安全漏洞，包括允許惡意第三方訪問消費者網(wǎng)絡(luò)攝像頭，以及類似于Facebook將數(shù)據(jù)共享給其他公司等問題。

對此，在3月30日，Zoom更新了隱私策略并對檢察長的致信作出了回應：“我們感謝紐約州檢察長在這些問題上的參與，并很高興為她提供所要求的信息。”

據(jù)了解，Zoom近期曝出的安全問題層出不窮。就在上周，在曝出與Facebook服務(wù)器共享用戶設(shè)備信息后，Zoom更新了其iOS應用程序，但是這還是引發(fā)了人們對其未能保護用戶隱私的擔憂。

今年早些時候，Zoom還修補了其軟件中的另一個隱私漏洞，該漏洞可能讓未被邀請的人參加私人會議，并遠程竊聽整個會話，共享私人音頻、視頻和文檔。

用戶可采取的安全防御措施

1. 了解使用Zoom時的隱私注意事項

2. 為Zoom會議添加密碼

創(chuàng)建新的Zoom會議時，Zoom將自動啟用“需要會議密碼”設(shè)置并分配一個隨機的6位數(shù)字密碼。盡量不要取消選中此選項，因為這樣做將允許任何人未經(jīng)許可訪問會議。

3. 使用等候室功能

Zoom允許主持人(創(chuàng)建會議的主持人)啟用等候室功能，該功能可以防止用戶未經(jīng)主持人允許就進入會議。可以在會議創(chuàng)建期間通過以下方式啟用此功能：打開高級設(shè)置，選中“啟用候診室”設(shè)置，然后單擊“保存”按鈕。

4. 及時更新Zoom客戶端

最新的Zoom更新默認情況下啟用會議密碼，并增加了對掃描會議ID的人員的保護。

5. 不要分享個人的會議ID

每個Zoom用戶都會獲得一個與其帳戶相關(guān)聯(lián)的永久“個人會議ID”(PMI)。如果將個人的PMI交給其他人，他們將始終能夠檢查是否有正在進行的會議，如果未配置密碼，則有可能加入會議。

6. 禁用參與者屏幕共享

為防止會議被他人劫持，應防止主持人以外的其他參與者共享他們的屏幕。作為主持人，可以在會議中通過單擊“縮放”工具欄中“共享屏幕”旁邊的向上箭頭，然后單擊“高級共享選項”來完成此操作，如下所示。

7. 每個人加入完畢后鎖定會議

如果每個人都參加了會議，并且沒有邀請其他人，則應該鎖定會議，這樣其他人就不能參加。為此，請單擊“縮放”工具欄上的“管理參與者”按鈕，然后在“參與者”窗格底部選擇“更多”。然后選擇“鎖定會議”選項，如下所示。

8. 不要發(fā)布Zoom的會議圖片

如果為Zoom會議拍照，那么看到此照片的任何人都將能夠看到其相關(guān)會議ID，然后可以嘗試進入該會議。攻擊者可能會使用它來嘗試通過顯示的ID手動加入來獲得未經(jīng)授權(quán)的會議訪問權(quán)限。

9. 不要發(fā)布會議的公共鏈接

創(chuàng)建Zoom會議時，切勿公開發(fā)布會議鏈接。 這樣做會使諸如Google之類的搜索引擎對鏈接建立索引，并使搜索它們的任何人都可以訪問它們。

10. 警惕以Zoom為主題的惡意軟件

自冠狀病毒爆發(fā)以來，制造惡意軟件、網(wǎng)絡(luò)釣魚詐騙和其他與疫情相關(guān)的攻擊的威脅參與者數(shù)量迅速增加，這包括偽裝為Zoom客戶端安裝程序的惡意軟件和廣告軟件安裝程序。

文章標題：Zoom客戶端漏洞允許黑客竊取用戶Windows密碼
文章分享：http://www.5511xx.com/article/dhehodo.html