Xakep #305. Многошаговые SQL-инъекции
Специалисты IntSights обнаружили, что в даркнете продают базу, в которую входят учетные данные пользователей Zoom (email, пароли), а также идентификаторы собраний, имена и ключи хостов.
Пока эта база сравнительно небольшая: она содержит около 2300 записей, то есть слишком мало, чтобы предположить взлом самой компании Zoom, но слишком много, чтобы эти данные были случайно собраны в открытом доступе. Впрочем, последний вариант эксперты все же не исключают, так как в целом защиту пользователей в Zoom вряд ли можно назвать надежной. К примеру, мы уже писали о том, что многие компании и пользователи публиковали ID собраний и даже свои пароли случайно, публикуя скриншоты своих собраний в социальных сетях. Так, премьер-министр Великобритании Борис Джонсон поделился ID заседания кабинета министров Великобритании, а члены парламента Бельгии случайно раскрыли идентификатор и пароль, опубликовав скриншот собрания комитета обороны.
Исследователи IntSights поясняют, что добавление такого ID к легко подбираемому URL-адресу, это первый шаг, который делает злоумышленник для получении доступа ко всем текущим конференциям целевой учетной записи. URL-адрес, о котором идет речь — это либо базовый URL-адрес Zoom (https://zoom.us/j/), либо этот URL с названием компании. Таким образом, zoom[название компании].us/j/[account/ID number] —это URL-адрес конкретной видеоконференции Zoom.
Хуже того, дополнительный доступ к идентификатору (обычно адресу электронной почты) и паролю позволит злоумышленнику использовать учетную запись и начать новую видеоконференцию от имени ее владельца.
Обнаруженная в даркнете БД порой содержит лишь частичные сведения, но в других случаях в ней можно обнаружить полный набор данных, включая PIN-код для всех открытых сеансов. Имея доступ к URL-адресу, идентификатору и PIN-коду, атакующий получает возможность как войти в видеоконференцию, так и захватить контроль над ней (и, например, начать удалять участников для развлечения).
Данные в базе варьируются от личных учетных записей до корпоративных профилей банков, крупных консалтинговых компаний, образовательных учреждений, поставщиков медицинских услуг и поставщиков ПО.
Исследователи полагают, что база могла быть составлена с использованием credential stuffing. Этим термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв. Дело в том, что доступ к Zoom осуществляется по ID и паролю, а значит, перебор не составит большого труда.
«Было немало дискуссий о том, как автоматизировать атаки против Zoom. То, что происходит, это последствия использования Zoom-чекеров. Чекер — это концепт, взятый из области мошенничества с банковскими картами. Он подразумевает, что для проверки украденных данных карты осуществляется микроплатеж, чтобы понять, является ли счет действительным. Похоже, они [хакеры] создают и адаптируют различные инструменты для проверки и автоматизации действительных учетных записей [Zoom] по именам пользователей и паролям», — говорят аналитики.
Интересно, что как минимум один такой инструмент уже свободно доступен на GitHub: OpenBullet. Он не просто проверяет email и пароль на странице входа в Zoom, но также, в случае успешного подбора учетных данных, пытается собрать другую информацию, включая ID и PIN-код (оба являются перманентными).
Эксперты предупреждают, что итогом подобной атаки могут стать вовсе пранк и обычный Zoom-Bombing. Так, если у преступника имеется большое количество аккаунтов, немного OSINT применительно к электронной почте (например, с помощью LinkedIn) и можно будет обнаружить владельцев особо «ценных» аккаунтов, таких как генеральные директора. LinkedIn также поможет найти финансового директора компании: используя тот же шаблон, что и для email-адреса CEO, злоумышленник, вероятно, сможет угадать адрес.
В итоге, атакующий получает возможность, например, написать письмо финансовому директору о лица CEO, и пригласить «коллегу» в Zoom. А дальше в дело вступает простая социальная инженерия (хакер может замаскироваться, исказив свой голос добавлением шумов, затруднить просмотр видео, используя Zoom на телефоне и так далее), и перед мошенником откроются широкие возможности для организации BEC-атак (Bussiness Email Compromise). Напомню, что похожим образом злоумышленники обманули Google и Facebook более чем на 100 млн долларов, а также известны случаи, когда для имитации голоса CEO использовались deepfake’и.