继Zoom爆雷后:世界头号网络会议软件WebEx,成为攻击者的“真香”目标 – 作者:0day情报局

 大家好,我是 零日情报局

本文首发于公众号 零日情报局,微信ID:lingriqingbaoju 


全球蔓延的新冠疫情加剧远程办公需求,就在人们享受着远程办公软件带来的便利时——Zoom,全球知名的云视频会议软件,爆雷了。


1.png

开年3个月新增1.9亿用户,股价大涨130%,就连Zoom自己也没想到,原本前景大好的态势,因频频爆发的隐私安全问题和漏洞凉了下来。

 

比如,因为Zoom会议ID过短,任何人都可以随机加入或搅乱视频会议,包括黑客和网络喷子,大量“ Zoombombing”造成会议崩溃之类的事件普遍发生;还有一系列安全漏洞的曝光,导致约15000个Zoom用户私密视频被上传至公开网站……


2.png

 

随后,世界头号网络会议供应商,Cisco旗下的在线会议软件“WebEx”,于4月8日,被Cofense网络钓鱼防御中心曝出相关钓鱼活动,WebEx用户成了新一茬“韭菜”。


3.png

 

Zoom、WebEx这些远程办公软件相继爆雷,早在远程办公这股风暴席卷全球时,网络攻击者就已经站在了风里。



网络钓鱼者为WebEx用户设下四重陷阱

 

铁打的网络攻击,流水的攻击对象,这一次轮到了WebEx。


111.jpg

 

根据Cofense网络钓鱼防御中心发现的钓鱼活动,有攻击者蹭上了远程办公热点,伪造WebEx安全警告的钓鱼邮件(且钓鱼邮件未被思科邮件防火墙捕获),借此诱导用户通过钓鱼链接进行“更新”,试图窃取WebEx凭据,以访问网络电话会议并盗取参与者共享的敏感文件和数据。


5.png

今时不同往日,在这个钓鱼邮件满天飞的特殊时期,能一边躲过各大安全厂商的围追截堵,一边骗过受过多次教育的用户,这次钓鱼攻击有何高明之处?

 

真实,这是钓鱼攻击成功的唯一核心要素。整个钓鱼过程太逼真了!即使是看惯了高仿货的人,也难免会因为看走眼,栽在精仿货的身上。通过还原本次钓鱼活动,零日总结出了攻击者设下的四个陷阱,下面让我们一起真实感受下这次钓鱼攻击的仿真程度。

 

在整个攻击过程中,攻击者发送了一封主题为“安全警报”的电子邮件,内含欺骗性的地址“meetings [@] webex [。] com”,诱使用户继续操作,这一点没什么特别之处。


6.jpg

陷阱一:逼真的高危漏洞警告

 

电子邮件内容说明用户存在一个必须修补的高风险漏洞,该漏洞必须允许未经身份验证的用户安装“在系统上具有高特权的Docker容器”。攻击者用真实内容解释完该漏洞问题后,甚至链接了该漏洞的合法文章,邮件内容中的漏洞编号“CVE-2016-9223”文本,直接链接了该文章URL:hxxps:// cve [。] mitre [。] org / cgi-bin / cvename.cgi?name = CVE-2016-9223。


相信我,大多数具有安全意识的用户,都会按照电子邮件中的说明进行操作,选择立即“更新”。

 

陷阱二:以假乱真的URL链接

 

即使还有更谨慎的用户心存疑虑也无济于事,攻击者还精心设计了邮件“加入(安装/更新)”按钮嵌入的URL: hxxps://globalpagee-prod-webex [。] com / signin;合法的Cisco WebEx URL为:hxxps://globalpage-prod [。] webex [。]com / signin。

 

乍一看,这两个URL看起来非常相似,但是仔细观察,发现攻击者在“ globalpage”中添加了一个额外的“ e”。同样,恶意链接不是“ prod.webex”,而是“ prod-webex”。

 

陷阱三:为欺诈域名申请SSL证书

 

更为狡猾的是,攻击者在进行攻击前就已经通过Public Domain Registry注册了一个欺诈域名,甚至可以为自己的欺诈域名申请SSL证书,从而获得最终用户的进一步信任。


官方的Cisco证书是通过HydrantID验证的,而攻击者的证书是通过Sectigo Limited验证的。无论谁验证了攻击者的证书,结果都是相同的:一个锁出现在URL的左侧。

 

用户重定向到的网络钓鱼页面与合法的Cisco WebEx登录页面相同,在视觉上没有区别。


7.jpg

陷阱四:将用户定向到官网以证明合法性


即使在用户提供WebEx凭据后,攻击者也没有掉以轻心,继续将用户导流到Cisco官方网站以下载WebEx。这足以说服大多数用户相信,这次更新WebEx应用程序是合法的。


8.jpg

高真实度的陷阱与钓鱼过程环环相扣,成功的钓鱼攻击背后,没有一个步骤是无辜的。


 

远程办公频繁爆雷

成为当前网络攻击猛攻目标

 

话说回来,Zoom、WebEx爆雷的根源还是远程办公。迅速崛起的远程办公需求,为网络攻击者提供了一个新的攻击思路。

 

零日从公开数据中了解到,仅春节期间,在我国7亿+工作人口中,就有超过3亿远程办公人员,这个比例放之全球也是只多不少。甚至,我们预测,2024-2025年全球将有1.23亿人步入远程办公。

 

这种互联网刚需、高流量、to B带来的巨大诱惑,带动了各个远程办公软件兴起或繁荣发展。但是,Zoom、WebEx已经向我们释放了一个危险信号:被提前引爆的远程办公,将在很长一段时间内成为网络攻击者炮火集中的首要目标。


9.jpg

很显然,已经为人鱼肉的各大远程办公软件并没有意识到这一点,以Zoom、WebEx为首的多数软件没有做好准备,以至于成为攻击者最先锁定的攻击对象。

 

最后,零日要提醒大家的是,在真正的战场上,攻击者从不会等你

 

 

零日反思

 

额外思考一个问题,为什么是Zoom、WebEx相继成为攻击者收割的第一波目标?说到这,不知道大家注意到没有,本文开篇在介绍这两家时的用词:“全球知名”、“世界头号”的远程办公软件,这很好理解,蹲在远程办公隐蔽处的攻击者,要的就是擒贼先擒王。

 

在这个网络安全考场中,不知道下一个中招的公司又是哪个?



零日情报局作品

微信公众号:lingriqingbaoju

如需转载,请后台留言

欢迎分享朋友圈


参考资料:

[1] Cofense新的网络钓鱼活动欺骗WebEx锁定远程工作者


640?wx_fmt.gif

来源:freebuf.com 2020-04-13 20:21:06 by: 0day情报局

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论